一、磁碟机病毒疫情的发生
磁碟机病毒最早出现在去年2月份,金山毒霸反病毒专家李铁军表示,当时该病毒只是在windows系统目录下生成lsass.exe及smss.exe文件,并且修改系统时间为1980年,当时这个病毒并非以下载器为目的,自身也有较多BUG,入侵后,容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性,对抗安全软件的能力逐步增强。
二、磁碟机病毒分析
磁碟机病毒至今已有上百个变种,据金山毒霸全球反病毒监测中心表示,该病毒感染系统之后,会象“蚂蚁搬家”一样将更多木马下载到本地运行,以盗号木马为主。同时,磁碟机病毒还会下载其它木马下载器,比如AV终结者,中毒后的典型表现是众多病毒木马混合感染,其中下载的ARP病毒会对局域网产生严重影响。
对于普通电脑用户来说,磁碟机病毒入侵后,除了安全软件不可用之外,系统的其它功能基本正常。因此,普通用户发现中毒是在盗号事件发生之后,一般用户并不是经常关注安全软件和系统管理工具是不是能够运行。并且,在这种情况下,用户基本无法正常使用杀毒软件完成病毒清除,甚至想重新安装另一个杀毒软件也变得不可能。
三、典型磁碟机破坏的表现
1.注册全局HOOK,扫描含有常用安全软件关键字的程序窗口,发送大量消息,致使安全软件崩溃
2.破坏文件夹选项,使用户不能查看隐藏文件
3.删除注册表中关于安全模式的值,防止启动到安全模式
4.创建驱动,保护自身。该驱动可实现开机删除自身,关机创建延迟重启的项目实现自动加载
5.修改注册表,令组策略中的软件限制策略不可用
6.不停扫描并删除安全软件的注册键值,防止安全软件开机启动
7.在各磁盘创建autorun.inf和pagefile.pif,利用双击磁盘或插入移动设备时自动运行功能传播
8.将注册表的整个 RUN 项及其子键全部删除,阻止安全软件自动加载
9.释放多个病毒执行程序,完成更多任务
10.病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串
11.感染除system32目录外的其它EXE文件(病毒感染行为不断进化,从感染其它分区到感染系统分区),最特别的是病毒还会解包RAR文件,感染其中的EXE之后,再打包成RAR
12.下载大量木马到本地运行,用户最终受损情况,决定于这些木马的行为
磁碟机各版本表现不尽相同,典型的分析请参考爱毒霸社区的两个实例:
http://bbs.duba.net/thread-21894878-1-1.html
http://bbs.duba.net/thread-21891665-1-1.html
