病毒運行後首先會在C盤根目錄下釋放病毒驅動NetApi000.sys,該驅動用來恢復SSDT,把殺毒軟件掛的鉤子全部卸掉。然後在 System32路徑下的com文件夾中釋放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。
然後該程序退出,運行剛剛釋放的lsass.exe。
lsass.exe運行後,會在com文件夾下重新釋放剛才所釋放的文件,同時會在system32文件夾下釋放壹個新的動態庫文件dnsq.dll,然後生成兩個隨機名的log文件該文件是lsass.exe和dnsq.dll的副本,然後進行以下操作:
1. 從以下網址下載腳本/data.gif,查找窗口”MCI Program Com Application”如果該窗口不存在則運行下載的程序。
9.此病毒會化為碎片,迅速的繁殖,堵塞磁盤使進入不了磁盤,使其電腦崩潰,藍屏,自動關機,開機文件刪除。(開機152H)
綜合評價
[編輯本段]
此病毒變種繁多,並且在不斷更新升級,可以繞過主動防禦、Hips、Byshell技術、監控文件和窗口、破壞組策略/IFEO、U盤感染、進程守護、關絕大部分殺毒軟件和屏蔽常見安全工具、感染非系統分區下EXE等文件((包括rar中的exe文件))、關閉自動更新破壞安全模式、刪除顯示受保護的隱藏系統文件選項、開啟驅動器自動播放 autorun、瀏覽器彈出廣告、使用ARP欺騙,壞事做絕,普通用戶難以處理。
“磁碟機”病毒近日在互聯網引起軒然大波,由於病毒嚴重侵害了眾多企業和個人用戶電腦系統,引起了全國電腦用戶的壹致聲討。越來越多的殺毒廠商加入到了剿殺“磁碟機”的行列,打響了又壹場反病毒大戰。
去年的“熊貓燒香”病毒大戰人們記憶猶新,因為病毒在電腦裏面生成了很多舉著三柱香的熊貓圖案,壹度引起全國電腦用戶的議論和恐慌。然而,“磁碟機”病毒似乎並沒有“熊貓燒香”那麽火爆,但是許多反病毒專家都壹致認為“磁碟機”危害十倍於“熊貓燒香”,這是為什麽呢?
反病毒專家何公道近日對“磁碟機”和“熊貓燒香”病毒進行了對比分析,從中可以看出“磁碟機”病毒為什麽會被推為“毒王”了。
壹、傳播途徑
“熊貓燒香”病毒有多種傳播方式。通過U盤和感染網頁文件掛馬傳播,通過局域網傳播,通過攻破壹些大型網站,采用在正常網頁上掛馬的方式傳播。“磁碟機”病毒利用“ARP病毒”在局域網中進行自我傳播,病毒通過訪問壹個惡意網址,下載並自動運行二十多個病毒,通過其中的ARP病毒,“磁碟機”可以瞬間傳遍整個網絡內電腦。
“磁碟機”也可以通過U盤和網頁掛馬傳播,但目前尚沒有發現病毒作者通過攻破大型網站的方式掛馬傳播的案例,這也是目前“磁碟機”在傳播範圍上尚不及“熊貓燒香”的原因,但如果壹旦病毒作者通過這種方式大面積傳播,後果將不堪設想。
二、反攻殺毒軟件能力
“熊貓燒香”和“磁碟機”病毒都有反攻殺毒軟件的能力,但不同的是,“熊貓燒香”只是通過發送關閉消息的方式關閉殺毒軟件,而“磁碟機”則通過生成壹個內核權限的驅動程序來破壞殺毒軟件的監控,使殺毒軟件的監控功能失效,然後再關閉殺毒軟件並阻止殺毒軟件升級,並屏蔽主流的殺毒軟件網頁。
這壹點上,“磁碟機”遠遠超過了“熊貓燒香”病毒,導致壹些主動防禦功能不強的殺毒軟件紛紛被關閉,目前,“磁碟機”能夠關閉壹些主流殺毒軟件,這也是為什麽眾多企業在遇到“磁碟機”病毒時,整個局域網內幾乎無壹臺電腦幸免病毒之災的原因。
三、自我保護和隱藏能力
“熊貓燒香”采用的是進程保護,病毒首先生成壹個系統服務程序來保護其進程不被關閉,只要清除了病毒生成的系統服務,就可以輕松關閉其進程。
而“磁碟機”在自我保護和隱藏技術上幾乎無所不用其極,通過十余種技術來達到自我保護的目的。例如:利用進程守護技術,發現病毒文件被刪除或被關閉,會馬上生成重新運行。病毒程序以系統級權限運行,DLL組件會插入到系統中幾乎所有的進程中加載運行(包括系統級權限的進程)。利用了關機回寫技術,在關閉計算機時把病毒主程序體保存到[啟動]文件夾中,實現開機自啟動。系統啟動後再將[啟動]文件夾中病毒主體刪除掉,實現既可隱蔽啟動,又不被用戶發現的目的。使用反HIPS技術繞過部分主動防禦程序“HIPS”的監控。利用光纖接入的服務器高速升級病毒體,迅速更新避免殺毒軟件查殺。
四、病毒變種和自我更新速度
“熊貓燒香”由於技術上較“磁碟機”簡單,加上源代碼可能外泄,因此病毒變種較多,而”磁碟機”由於病毒程序復雜,加上目前可以確定其源代碼尚未泄露到互聯網上,因此壹周只出現兩到三個變種,最多的時候達到了壹天出現兩個變種的速度,雖然相較於“熊貓燒香”在變種數量上稍遜壹籌,但“磁碟機”的在線升級更新速度之快令人咋舌。
反病毒專家甚至懷疑,“磁碟機”病毒使用了光纖接入的升級服務器,能夠實現在下載量很大的情況下,病毒體也可以瞬間自動完成更新。
五、病毒的破壞性
在破壞性上,“熊貓燒香”和“磁碟機”都能夠感染電腦內的可執行文件和網頁文件,導致系統運行緩慢,不同的是,“磁碟機”在感染文件過程中對感染文件進行了加密存放,使得清除病毒難度更大。兩者都可以鏈接到惡意網頁下載木馬病毒,但在下載的木馬病毒數量上,“磁碟機”遠超過“熊貓燒香”,“磁碟機”能夠下載二十余種木馬病毒,“熊貓燒香”只能下載壹個或幾個木馬。
而“磁碟機”借助ARP病毒給企業局域網用戶帶來了巨大的災難性事故,由於“磁碟機”可以借助ARP方式瞬間感染所有局域網內電腦,因此許多單位的工作因此中斷,造成了不可估量的損失。
六、病毒的表現形式
在表現形式上,“熊貓燒香”的表現十分明顯,感染可執行文件生成“熊貓燒香”的圖案,十分易於判斷。而“磁碟機”的感染則十分低調隱蔽。他千方百計隱藏自身的行蹤,普通用戶從表面看很難發現有中毒的痕跡,很多用戶中毒後尚不自知,除了感覺系統似乎變慢外無其它明顯異常癥狀。
而“磁碟機”病毒也正是在這種刻意低調的偽裝下,伺機竊取用戶的隱私敏感信息,包括遊戲帳號和網上銀行、網上證券交易等帳號密碼,這比“熊貓燒香”明目張膽的打劫更可怕。