近日,“磁碟机”病毒在互联网疯狂传播,至今已有近10万余台电脑感染病毒,病毒所造成的损失十分巨大。
江苏环网信息安全研究院的反病毒专家在对该病毒进行分析时发现:“磁碟机”病毒会通过互联网进行自动升级(类似反病毒软件的在线升级),而且它的升级服务器出口带宽非常大(不排除是恶意组织的精心策划),病毒变种体非常(有一整套算法进行自动变种),更恶劣的手法是: “磁碟机”病毒采用驱动病毒设计技术,利用驱动程序使部分安全软件(如目前常用的杀毒软件或木马清除工具)的监控失效,然后强行关闭目前几乎所有安全工具软件以及几乎所有的杀毒软件。
一、“磁碟机”病毒分析
1. “磁碟机”通过一个ARP病毒在局域网中迅速传播。在感染了该“ARP病毒”的局域网中,除了系统静态绑定MAC地址的计算机外,其他系统所下载的所有正常EXE程序文件都变成磁碟机病毒变种,该变种文件名为“setup.exe”,系一个RAR自解压格式的安装包,运行后就会在用户系统中安装“磁碟机”变种。
2. 病毒会破坏注册表,使用户无法进入“安全模式”,以及无法查看“隐藏的系统文件”,并实时检测保护这个被修改过的病毒选项,恢复后立即重写。破坏注册表,使用户注册表启动项失效,导致部分通过注册表启动项开机运行的安全软件就无法开机启动运行了。修改注册表,实现开启自动播放的功能。防止病毒体被重定向,删除注册表中的IFEO进程映像劫持项。删除组策略限制的注册表项。
3. 病毒通过搜索注册表,直接强行删除所有安全软件的关联注册表项,使其无法开启监控。利用进程守护技术将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联,实现进程守护。发现病毒文件被删除或被关闭,会马上生成重新。病毒程序以系统级权限运行,部分进程使用了进程保护技术。
4. 病毒的自我保护和隐藏技术无所不用其极。将DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术,在关闭计算机时把病毒主程序体保存到[启动]文件夹中,实现开机自启动。系统启动后再将[启动]文件夹中病毒主体删除掉。这样可以隐蔽启动,而不被用户发现。
5. 为了避开杀毒软件主动防御功能,病毒采用了反“Hips”的监控技术,为就使得部分仅通过HIPS技术实现主动防御功能的杀毒软件失效。
6. 病毒有自动升级功能,并有自己的光纤接入的升级服务器,即使在下载流量很大的情况下也可以瞬间升级更新病毒体。该病毒还是反向连接木马下载器,下载列表配置文件在骇客的远程服务器上,骇客可以随时更新不同的病毒变种下载到被感染计算机中安装运行。病毒会下载20种以上的木马病毒程序,其中包括有网络游戏盗号木马和ARP病毒等。病毒还会通过独占的方式访问系统“boot.ini”和“hosts”配置文件。防止DOS级删除病毒体和用hosts文件来屏蔽病毒的恶意网站域名地址。利用控制台命令来设置病毒程序文件的访问运行权限。利用“ping”命令在后台检测当前计算机网络是否连通,如果连通则利用系统“IE浏览器”进程在后台与骇客服务器进程通信,这样可以躲避部分防火墙的监控。
二、解决方案
1. 能邦反病毒硬件已经针对“磁碟机”病毒设计了驱动级防护,通过硬件技术解决此类病毒破坏反病毒软件的系统驱动钩挂。用户只要插上能邦反病毒硬件即可自动防杀“磁碟机”病毒;
2. 针对“磁碟机”病毒还在不断变种的情况,一旦用户机器上出现类似上述所描述的病毒情况,请立即致电江苏环网信息安全研究院服务专线或通过http://www.Neng Bang.cn上面的服务热线交流,我们的专家立即启动远程急救工作
|
