技術全解析涅重生的新一代毒王磁碟機

背景介紹

磁碟機病毒並不是一個新病毒，早在2007年2月的時候，就已經初現端倪。當時它僅僅作為一種蠕蟲病毒，成為所有反病毒工作者的關注目標。而當時這種病毒的行為，也僅僅局限於，在系統目錄%system%/system32/com/生成lsass.exe和smss.exe，感染用戶電腦上的exe文件。

病毒在此時的傳播量和處理的技術難度都不大。

然而在病毒作者經過長達一年的辛勤工作－－資料表明，病毒作者幾乎每兩天就會更新一次病毒－－之後，並吸取了其他病毒的特點（例如臭名昭著的AV終結者，攻擊破壞安全軟體和檢測工具），結合了目前病毒流行的傳播手段，逐漸發展為目前感染量、破壞性、清除難度都超過同期病毒的新一代毒王。

病毒特徵

傳播性

1）在網站上掛馬，在用戶訪問一些不安全的網站時，就會被植入病毒。這也是早期磁碟機最主要的傳播方式；

2）通過USB隨身碟等移動儲存的Autorun傳播，染毒的機器會在每個分區（包括可移動儲存設備）根目錄下釋放autorun.inf和pagefile.pif兩個文件。達到自動運行的目的。

3）局域網內的ARP傳播方式，磁碟機病毒會下載其他的ARP病毒，並利用ARP病毒傳播的隱蔽性，在局域網內傳播。值得注意的是：病毒之間相互利用，狼狽為奸已經成為現在流行病的一個主要趨勢，利用其它病毒的特點彌補自身的不足。

隱蔽性

1）傳播的隱蔽性：從上面的描述可以看出，病毒在傳播過程中，所利用的技術手段都是用戶，甚至是殺毒軟體無法截獲的。

2）啟動的隱蔽性：病毒不會主動添加啟動項（這是為了逃避系統診斷工具的檢測，也是其針對性的體現），而是通過重啟重命名方式把C:/下的XXXX.log文件（XXXX是一些不固定的數字），改名到「啟動」文件夾。重啟重命名優先於自啟動，啟動完成之後又將自己刪除或改名回去。已達到逃避安全工具檢測的目的，使得當前大多數殺毒軟體無法有效避免病毒隨機啟動。

針對性

1）關閉安全軟體，病毒設置全局鉤子，根據關鍵字關閉殺毒軟體和診斷工具

關鍵字舉例：

另外，病毒還能枚舉當前進程名，根據關鍵字Rav、avp、kv、kissvc、scan…來結束進程。

2）破壞文件的顯示方式，病毒修改註冊表，使得文件夾選項的隱藏屬性被修改，使得隱藏文件無法顯示，逃避被用戶手動刪除的可能

3）破壞安全模式，病毒會刪除註冊表中和安全模式相關的值，使得安全模式被破壞，無法進入；為了避免安全模式被其他工具修復，病毒還會反覆改寫註冊表。

4）破壞殺毒軟體的自保護，病毒會在C盤釋放一個NetApi00.sys的驅動文件，並通過服務加載，使得很多殺毒軟體的監控和主動防禦失效，目的達到後，病毒會將驅動刪除，消除痕跡。

5）破壞安全策略，病毒刪除註冊表HKLM/SoftWae/Plicies/Microsoft/Windows/Safer鍵和子鍵。並會反覆改寫。

6）自動運行，病毒在每個硬碟分區根目錄下生成的autorun.inf和pagefile.pif，是以獨佔式打開的，無法直接刪除。

7）阻止其他安全軟體隨機啟動，病毒刪除註冊表整個RUN項和子鍵。

8）阻止使用映像劫持方法禁止病毒運行，病毒刪除註冊表整個Image File Execution Options項和子鍵。

9）病毒自保護，病毒釋放以下文件：

%Systemroot%/system32/Com/smss.exe%Systemroot%/system32/Com/netcfg.000%Systemroot%/system32/Com/netcfg.dll%Systemroot%/system32/Com/lsass.exe

隨後smss.exe和lsass.exe會運行起來，由於和系統進程名相同（路徑不同），任務管理器無法將它們直接結束。病毒在檢測到這兩個進程被關閉後，會立即再次啟動；如果啟動被阻止，病毒就會立即重啟系統。

10）對抗分析檢測，病毒不會立即對系統進行破壞。而會在系統中潛伏一段時間之後，再開始活動。這樣的行為使得無法通過Installwatch等系統快照工具跟蹤到病毒的行為。

危害性

1）病毒會自動下載自己的最新版本，和其他一些木馬到本地運行

2）病毒會感染用戶機器上的exe文件，包括壓縮包內的exe文件，並會通過UPX加殼。

3）盜取用戶虛擬資產和其他有用信息

用戶環境的表現

1）殺毒軟體和安全工具無法運行

2）進入安全模式藍屏

3）由於Exe文件被感染，重裝系統無效

4）用戶信息丟失，甚至有些程序無法使用

金山毒霸的應對措施

專殺工具

在徹底分析了磁碟機新變種的行為特徵之後，毒霸引擎組啟動應急流程，利用各種資源全面剿滅磁碟機病毒。在短短三天時間內，已經連續開發並測試發佈了磁碟機專殺工具5.5、5.6、5.7三個版本（還將根據用戶的反饋，繼續跟進和完善）。並且針對於磁碟機具有感染性的特點，在專殺工具中首次集成了引擎和病毒庫。已經可以很好的查殺並清除磁碟機病毒。

(