這是壹個用MFC寫的傳染性病毒。
病毒運行後,會先釋放c盤根目錄下的病毒驅動NetApi000.sys,用來恢復SSDT,去掉殺毒軟件掛的所有鉤子。然後在System32路徑下的com文件夾中釋放病毒文件smss.exe、netcfg.000、netcfg.000和lsass.exe。
然後程序退出並運行新發布的lsass.exe。
lsass.exe運行後,剛剛釋放的文件會在com文件夾下重新釋放,在system32文件夾下會釋放壹個新的動態庫文件dnsq.dll,然後會生成兩個隨機命名的日誌文件。這些文件是lsass.exe和dnsq.dll的副本,然後將執行以下操作:
1.從以下網站下載script /data.gif,找到窗口“MCI程序Com應用”。如果窗口不存在,運行下載的程序。
9.這種病毒會裂成碎片並迅速繁殖,堵塞磁盤使其無法進入磁盤,導致其電腦死機、藍屏、自動關機、啟動文件刪除。(啟動152H)
編輯本段綜合評價
這個病毒品種很多,而且在不斷更新升級。可以繞過主動防禦、Hips、Byshell技術、監控文件和窗口、破壞組策略/IFEO、u盤感染、進程守護、關閉大部分殺毒軟件和屏蔽常用安全工具、感染非系統分區的exe等文件(包括rar中的EXE文件)、關閉自動更新破壞安全模式、刪除顯示受保護隱藏系統文件選項、自動打開驅動器。
“磁盤驅動器”病毒最近在網上引起軒然大波。由於該病毒已經嚴重侵害了多家企業和個人用戶的電腦系統,引起了全國電腦用戶的壹致譴責。越來越多的殺毒廠商加入了“磁盤驅動器”的行列,開始了又壹場殺毒大戰。
去年的“熊貓燒香”病毒大戰人們記憶猶新,因為病毒在電腦中生成了許多手持三根香的熊貓圖案,壹度引起全國電腦用戶的討論和恐慌。不過“磁盤驅動器”病毒似乎不如“熊貓燒香”流行,但很多反病毒專家都認同“磁盤驅動器”的危害比“熊貓燒香”大十倍。為什麽?
反病毒專家何功道最近對“磁盤驅動器”和“熊貓燒香”病毒做了對比分析,從中可以看出為什麽“磁盤驅動器”病毒被推為“毒王”。
第壹,傳播途徑
“熊貓燒香”病毒有多種傳播途徑。通過u盤和被感染的網頁文件傳播,通過局域網傳播,突破壹些大型網站,通過正常網頁傳播。“磁盤驅動器”病毒利用“ARP病毒”在局域網內傳播。通過訪問惡意網址,該病毒下載並自動運行20多種病毒。通過ARP病毒,“磁盤驅動器”可以瞬間遍布全網的電腦。
“u盤”也可以通過u盤和網頁傳播,但目前還沒有病毒作者通過突破大型網站傳播的案例,這也是為什麽目前“u盤”的傳播沒有“熊貓燒香”那麽大,但如果病毒作者通過這種方式大面積傳播,後果將不堪設想。
第二,反擊殺毒軟件的能力
“熊貓燒香”和“磁盤驅動器”病毒都具有反擊殺毒軟件的能力,但不同的是,“熊貓燒香”只是通過發送關機消息來關閉殺毒軟件,而“磁盤驅動器”則是通過生成壹個具有內核權限的驅動程序來破壞殺毒軟件的監控功能,進而關閉殺毒軟件,阻止殺毒軟件升級,屏蔽主流殺毒軟件網頁。
在這壹點上,“磁盤驅動”遠遠超過了“熊貓燒香”病毒,導致壹些主動防禦功能較弱的殺毒軟件被關閉。目前“磁盤驅動器”可以關閉壹些主流的殺毒軟件,這也是為什麽很多企業遇到“磁盤驅動器”病毒時,整個局域網幾乎沒有壹臺電腦能幸免於病毒的原因。
第三,自我保護和隱蔽能力
《熊貓燒香》采用工藝保護。該病毒首先生成壹個系統服務程序,以保護其進程不被關閉。只要清除了病毒產生的系統服務,就可以輕松關閉其進程。
“磁盤驅動器”在自我保護和隱藏技術上幾乎無所不能,通過十余項技術達到自我保護的目的。例如,使用進程守護程序技術,如果發現病毒文件被刪除或關閉,就會立即生成並重新運行。病毒程序以系統級權限運行,DLL組件會被插入到系統中幾乎所有的進程中來加載運行(包括具有系統級權限的)。利用斷電回寫技術,在電腦關機時將病毒的主程序體保存在[startup]文件夾中,實現了開機自啟動。系統啟動後,會刪除【啟動】文件夾中的病毒主題,這樣可以隱藏啟動,不被用戶發現。利用反HIPS技術繞過壹些主動防禦程序“HIPS”的監控。利用光纖接入服務器高速升級病毒體,快速更新,避免殺毒軟件查殺。
第四,病毒變種和自我更新速度
因為“熊貓燒香”的技術比“磁盤驅動”簡單,而且源代碼可能泄露,所以病毒變種很多。但由於“磁盤驅動器”的病毒程序復雜,且目前可以確定其源代碼沒有泄露到網上,所以壹周只出現兩三個變種,達到壹天最多兩個變種的速度。雖然在變種數量上略遜於《熊貓燒香》,但它是“盤驅”。
反病毒專家甚至懷疑,“磁盤驅動器”病毒使用的是帶光纖接入的升級服務器,可以實現病毒體在下載量較大的情況下,瞬間自動完成更新。
動詞 (verb的縮寫)病毒的破壞性
破壞性的是,“熊貓燒香”和“磁盤驅動器”都能感染電腦中的可執行文件和web文件,導致系統運行緩慢。不同的是,“磁盤驅動器”在感染文件的過程中會對感染文件進行加密存儲,增加了清除病毒的難度。兩者都可以鏈接到惡意網頁下載特洛伊病毒,但“磁盤驅動”下載的特洛伊病毒數量遠遠超過“熊貓燒香”,“磁盤驅動”可以下載20多個特洛伊病毒,而“熊貓燒香”只能下載壹個或幾個木馬。
然而,“磁盤驅動器”借助ARP病毒給企業局域網的用戶帶來了巨大的災難性事故。由於“磁盤驅動器”在ARP的幫助下可以瞬間感染局域網內的所有電腦,導致很多單位的工作中斷,造成不可估量的損失。
六、病毒的表現形式
在表現形式上,“熊貓燒香”的表現非常明顯,非常容易判斷出“熊貓燒香”的模式是通過感染可執行文件生成的。“磁盤驅動器”的感染非常低調和隱蔽。他盡力隱藏自己的行蹤。從表面上看,普通用戶很難發現中毒的痕跡。很多使用者中毒後並不知道,除了感覺系統似乎變慢之外,並沒有其他明顯的異常癥狀。
正是在這種刻意的低調偽裝下,“磁盤驅動器”病毒伺機竊取用戶的隱私敏感信息,包括遊戲賬號、網上銀行、網上證券交易等賬號的密碼,這比“熊貓燒香”的公然搶劫更可怕。
所以建議重裝系統,或者買個高級殺毒軟件徹底查殺!清空c盤和d盤!