科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道手动清除磁碟机病毒木马

手动清除磁碟机病毒木马

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

磁碟机木马最近成为安全领域的热门话题,据悉,进入3月以来,“磁碟机”木马作者已经更新了数次,感染率和破坏力正逐步提高。该病毒运行后关闭并阻止360安全卫士和卡巴、瑞星、金山、江民等安全类软件的运行,除此之外还会删除系统中含有“360”字样的文件。

作者:论坛整理 来源:zdnet网络安全 2008年4月25日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

磁碟机木马最近成为安全领域的热门话题,据悉,进入3月以来,“磁碟机”木马作者已经更新了数次,感染率和破坏力正逐步提高。该病毒运行后关闭并阻止360安全卫士和卡巴、瑞星、金山、江民等安全类软件的运行,除此之外还会删除系统中含有“360”字样的文件。

感染后,进程中会多出smss.exe和lsass.exe进程,使用任务管理器结束后会造成计算机重启,并自动下载大量的木马到本地机器。

据分析,该木马使用的关闭安全软件的方法和以往不同,其通过发生一堆垃圾消息,导致安全程序的崩溃,连icesword(冰刃)也未能幸免。其在运行后,会在 system32的Com 目录下生成smss.exe,lsass.exe, netcfg.dll等文件并在system32下生成dsnq.dll文件,在关机瞬间会写一个文件到开始菜单的启动项中;

需要注意的是,该病毒使用极其恶毒的感染方式,感染除SYSTEM32 目录外其它目录下的所有可执行文件(*.exe),导致文件被感染后无法使用且部分文件无法恢复。

既然所有可执行文件(*.exe)都无法运行,那么我们就来手动查杀磁碟机木马,具体步骤如下:

1、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(为安全起见,笔者使用了WinRAR的资源管理功能),再重启系统看看。

用WinRAR的资源管理功能改名

2、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都还在,但system32目录下出现了一个怪怪的cmd.exe(见下图)。这个cmd.exe的logo不同于正常的cmd.exe,这个就是病毒现从I386目录里找出来的!

3、不管这些,先看看病毒文件能否手工删除(如果那个cmd.exe管用,那么NetApi000.sys即可加载,病毒就会运行),结果所有病毒文件都可以被一一删除了。

4、删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。

注:此测试电脑只有一个分区,处理到这里,就完事了。但多分区系统(一般用户都会有多个分区),非系统分区还会有病毒的,记得删除其他几个分区里的病毒,打开其他分区时点鼠标右键—>打开进入,而不是直接双击。最重要的,还是要用最新病毒库的杀毒软件全盘杀毒,切记!

近日,一种专门入侵企业网络并能强行关闭多种杀毒软件的“磁碟机”病毒正在网络中蔓延,很多公司、企业和学校都遭受了该病毒——“磁碟机”的入侵。“磁碟机”病毒早在去年2月份就被截获,但是近期变种频繁,大有卷土重来之势。

该病毒运行后,首先在被感染计算机的后台实时监控当前系统所运行的程序,一旦发现某些安全软件的程序正在运行,则强行将其关闭并退出,同时所有相关安全软件的升级程序和安装程序也将无法运行。此外,该病毒还会导致被感染计算机系统出现蓝屏、死机等现象,严重危害计算机的系统和数据安全。

中了磁碟机病毒后,它会在windows系统目录下生成lsass.exe及smss.exe文件,并且修改系统时间为1980年,当时这个病毒不是以下载器为目的的,自身也有较多BUG,入侵后,容易引起系统蓝屏死机。以后的变种逐步吸收了AV终结者和机器狗的特性,对抗安全软件的能力逐步增强。

磁碟机病毒至今已有多个变种,该病毒感染系统之后,会象蚂蚁搬家一样将更多木马下载到本地运行,以盗号木马为主。同时,磁碟机病毒还会下载其它木马下载器,比如AV终结者,中毒后的典型表现是众多病毒木马混合感染,其中下载的ARP病毒会对局域网产生严重影响。

磁碟机病毒的典型破坏表现

注册全局HOOK,扫描含有常用安全软件关键字的程序窗口,发送大量消息,致使安全软件崩溃

破坏文件夹选项,使用户不能查看隐藏文件

删除注册表中关于安全模式的值,防止启动到安全模式

创建驱动,保护自身。该驱动可实现开机删除自身,关机创建延迟重启的项目实现自动加载。

修改注册表,令组策略中的软件限制策略不可用。

不停扫描并删除安全软件的注册键值,防止安全软件开机启动。

在各磁盘创建autorun.inf和pagefile.pif,利用双击磁盘或插入移动设备时自动运行功能传播。

将注册表的整个 RUN 项及其子键全部删除,阻止安全软件自动加载

释放多个病毒执行程序,完成更多任务

病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\KeysNotToRestore下的Pending RenameOperations字串。

感染除system32目录外的其它EXE文件(病毒感染行为不断进化,从感染其它分区到感染系统分区),最特别的是病毒还会解包RAR文件,感染其中的EXE之后,再打包成RAR。

下载大量木马到本地运行,用户最终受损情况,决定于这些木马的行为。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章