瘋狂黑冰主動防禦　關閉電腦阻止殺毒軟體

【賽迪網-IT技術報道】「黑冰下載器變種102400」是一個黑冰木馬下載器的變種。它會破壞一些安全工具和殺毒軟體的正常運行，並反覆寫註冊表來破壞系統安全模式。病毒還會在每個分區下釋放 AUTORUN.INF 來達到自運行。在發作後期，它會下載大量其它木馬程序到用戶電腦上。

病毒名稱(中文)：黑冰下載器變種102400

病毒別名：WhiteIce

威脅級別：★★☆☆☆

病毒類型：木馬下載器

病毒長度：36864

影響系統：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為：

這是一個黑冰木馬下載器的變種。它會破壞一些安全工具和殺毒軟體的正常運行，並反覆寫註冊表來破壞系統安全模式。病毒還會在每個分區下釋放 AUTORUN.INF 來達到自運行。在發作後期，它會下載大量其它木馬程序到用戶電腦上。

病毒功能：

一、病毒通過修改系統默認加載的DLL 列表項來實現DLL 注入，並在注入後設置全局鉤子。通過遠程進程注入，並根據以下關鍵字關閉殺毒軟體和病毒診斷等工具：

360safe360安全ieframecabinetwclassmozillauiwindowclassmetapaddr.webavg木tapplicationkvmonitor診具esetAfxControlBar42s360safe360antiafx:金山thunderrt6main木antivir費爾微點SREng 介紹升級thunderrt6formdcThunderRT6Timerarpewidoescanmcagent瑞防升bitdefenderfacelesswndproc狙劍防雲牆firewalleqsyss掃瞄

病毒枚舉進程名，通過搜索以下關鍵字來關閉進程：

Rav avp twister kv watch kissvc scan guard

找到帶有關鍵字的窗口後，就往目標窗口發送大量的垃圾消息，是其無法處理而進入假死的狀態，當目標窗口接受到退出、銷毀和WM_ENDSESSION 消息就會異常退出。

病毒關閉殺毒軟體的方法沒有什麼創新，但關鍵字變的更短，使一些名字相近的進程或窗口也被關閉。

二、修改註冊表破壞文件夾選項的隱藏屬性修改，使隱藏的文件無法被顯示。

三、刪除註冊表裡關於安全模式設置的值，使安全模式被破壞，病毒會反覆改寫註冊表，使清理專家和AV 終結者專殺等修復安全模式的工具失效。

四、在C: 盤目錄下釋放一個 NetApi00.sys 的驅動文件，並創建服務加載它，驅動的作用就是讀寫內核空間的記憶體。病毒把系統的內核文件加載起來，然後經過重定位，通過驅動來恢復系統中的 SSDT HOOK. 這使得很多的實時監控和主動防禦攔截監控失敗，病毒恢復SSDT 後就刪除自己的驅動。

五、刪除註冊表 HKLM/SOFTWARE/Policies/Microsoft/Windows/Safer 鍵及其子鍵，使用戶設定組策略中的軟體限制策略的設置失效。

六、不斷刪除註冊表的關鍵鍵值來來破壞安全模式和殺毒軟體和主動防禦的服務，使很多主動防禦軟體和實時監控無法再被開啟。

七、病毒在每個硬碟分區和可移動硬碟的根目錄下釋放 autorun.inf 和 pagefile.pif 兩個文件，來達到自運行的目的。並以獨佔方式打開這兩個文件，使其無法被直接刪除 、訪問和拷貝。

八、病毒為了不讓一些安全工具自啟動，把註冊表的整個 RUN 項及其子鍵全部刪除，並且刪除全部的映像劫持項(意圖不明，大概是為了防止一些利用映像劫持的病毒免疫)。

九、病毒釋放以下文件：

%SystemRoot%/system32/Com/smss.exe%SystemRoot%/system32/Com/netcfg.000%SystemRoot%/system32/Com/netcfg.dll%SystemRoot%/system32/Com/lsass.exe

然後運行SMSS.EXE和LSASS.EXE，由於進程名和系統的兩個關鍵進程名相似，任務管理器無法直接結束它們。

倘若檢測到病毒進程被關閉，就會立即又啟動病毒進程，若某些安全工具阻止了它啟動進程，病毒就立刻重啟系統！

十、病毒並不主動添加啟動項，而是通過重啟重命名方式來把C:/下的0357589.log文件(0357589是一些不固定的數字)改名到「啟動」文件夾下的 ~.exe.664406.exe (664406 也不固定)。重啟重命名優先與自啟動, 啟動完成後又將自己刪除或改名回去. 這種方式自啟動極為隱蔽，現有的安全工具都無法檢測的出來。AV 終結者專殺無法徹底清除這個磁碟機變種，正是因為這個原因。

十一、病毒會自動下載最新版本和其它的一些病毒木馬到本地運行。該病毒會下載並利用 ARP 病毒來對內網進行傳染，並會主動更新病毒版本。

十二、病毒會感染除SYSTEM32 目錄外其它目錄下的所有可執行文件。

並且會感染壓縮包內的文件，若機器安裝了winrar會調用其中rar.exe釋放到臨時文件夾，感染壓縮包內文件再打包。

(