這東西接近無敵了:
繞主防、Hips、Byshell技術、監控文件、破組策略/IFEO、U盤感染
進程守護、關殺軟、屏蔽安全工具、感染文件(帶加密)、破壞安全模式等等
哈哈。
測試爲反彙編和一些實機運行跟蹤。
因爲殼的原因,可能分析的不準確。 :)
1、檢查互斥體"xcgucvnzn",判斷病毒是否已加載在內存中。
如存在,則退出,防止多個病毒體被執行。
2、創建文件:
C:\037589.log 93696 字節
C:\lsass.exe.1771547.exe 93696 字節
C:\lsass.exe.1771547.exe 93696 字節
C:\WINDOWS\system32\Com\lsass.exe 93696 字節
C:\WINDOWS\system32\Com\smss.exe 40960 字節
C:\WINDOWS\system32\Com\netcfg.000 16384 字節
C:\WINDOWS\system32\Com\netcfg.dll 16384 字節
C:\WINDOWS\system32\Com\smss.exe 40960 字節
C:\WINDOWS\system32\Com\netcfg.000 16384 字節
C:\WINDOWS\system32\Com\netcfg.dll 16384 字節
C:\WINDOWS\system32\1878253.log 93696 字節(隨機)
C:\WINDOWS\system32\dnsq.dll 32256 字節
C:\WINDOWS\system32\dnsq.dll 32256 字節
3、刪除組策略限制的註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer
4、刪除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
5、破壞安全模式,刪除:
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
6、防止病毒體被重定向,刪除:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
(禁止寫入)
7、釋放驅動C:\NetApi000.sys(\Device\NetApi000)恢復SSDT Hook。
最後刪除自身。導致HIps和主動防禦失效。
8、修改註冊表,開啓自動播放:
NoDriveTypeAutoRun DWORD: 145
9、刪除服務項(如果有):
SYSTEM\CurrentControlSet\Services\KSysCall
SYSTEM\CurrentControlSet\Services\EQService
SYSTEM\CurrentControlSet\Services\HookSys
SYSTEM\CurrentControlSet\Services\McShield
SYSTEM\CurrentControlSet\Services\tmmbd
SYSTEM\CurrentControlSet\Services\PAVSRV
SYSTEM\CurrentControlSet\Services\SymEvent
SYSTEM\CurrentControlSet\Services\ekrn
SYSTEM\CurrentControlSet\Services\KAVBase
SYSTEM\CurrentControlSet\Services\klif
SYSTEM\CurrentControlSet\Services\AntiVirService
SYSTEM\CurrentControlSet\Services\MPSVCService
SYSTEM\CurrentControlSet\Services\EQService
SYSTEM\CurrentControlSet\Services\HookSys
SYSTEM\CurrentControlSet\Services\McShield
SYSTEM\CurrentControlSet\Services\tmmbd
SYSTEM\CurrentControlSet\Services\PAVSRV
SYSTEM\CurrentControlSet\Services\SymEvent
SYSTEM\CurrentControlSet\Services\ekrn
SYSTEM\CurrentControlSet\Services\KAVBase
SYSTEM\CurrentControlSet\Services\klif
SYSTEM\CurrentControlSet\Services\AntiVirService
SYSTEM\CurrentControlSet\Services\MPSVCService
10、調用cacls.exe,設置\system32\com 和病毒文件的權限爲Everyone:F。
11、\system32\com下啓動smss.exe和lsass.exe,使用進程守護。
當一方被結束時,另一個則將其重新啓動。
12、C:\windows\system32\dnsq.dll安裝全局鉤子,注入所有運行中的進程。
13、發送垃圾消息到如下窗口,導致程序無法正常響應,處於假死狀態:
avast
mcagent
escan
firewall
AfxControlBar42s
tapplication
antivir
ThunderRT6Timer
thunderrt6formdc
SREng
thunderrt6main
eset
mcafee
afx:
360anti
360safe
avg
facelesswndproc
bitdefender
ewido
#32770
monitor
dr.web
mcagent
escan
firewall
AfxControlBar42s
tapplication
antivir
ThunderRT6Timer
thunderrt6formdc
SREng
thunderrt6main
eset
mcafee
afx:
360anti
360safe
avg
facelesswndproc
bitdefender
ewido
#32770
monitor
dr.web
診
具
SREng 介紹
升級
微點
防
雲
牆
kv
木
狙劍
金山
瑞星
具
SREng 介紹
升級
微點
防
雲
牆
kv
木
狙劍
金山
瑞星
..........
14、嘗試關閉包含kissvc、guard、watch、scan、twister字符串的進程。
15、獨佔方式訪問:boot.ini和hosts。防止dos級刪除病毒和用hosts屏蔽惡意網站。
16、查找網頁格式文件,加入一段框架:
該地址會檢測referer,返回的來源地址如果有效,則執行:hxxp://js.k0102.com/a11.htm
感謝刺蝟大大的指點。
17、ping.exe -f -n 1 [url]www.baidu.com[/url]。如果網路通暢,調用IE訪問:
hxxp://jj.gxgxy.net/html/dg2.html
hxxp://jj.gxgxy.net/html/qb2.html
hxxp://jj.gxgxy.net/html/qb2.html
每隔一段時間執行一次。垃圾廣告啊。
18、在可用磁盤生成:pagefile.exe和Autorun.inf,並每隔幾秒檢測一次。
19、修改註冊表:
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
把REG_SZ, "checkbox"值填充垃圾數據,破壞“顯示系統文件”功能。
20、每隔一段時間會檢測自己破壞過的顯示文件、安全模式、Ifeo、病毒文件等項。
如被修改則重新破壞。
21、忽略系統盤感染可執行文件,還加密..感染過的程序圖標變16位的(模糊)。
支持Rar壓縮包內可執行程序的感染 - -!
22、“高科技”:
使用了byshell的技術,當系統關機時調用SeShutdownPrivilege函數時
這時候dnsq.dll會將C盤下的某某.log拷貝至:
C:\Documents and Settings\All Users\「開始」菜單\程序\啓動\
格式差不多是:~.exe.某某.exe
最後計算機重啓後,等病毒完全釋放,立刻就刪除這個:~.exe.某某.exe
哈哈,真是天衣無縫啊。
其實這種垃圾技術,只要冷啓動就可以對付了。
23、嘗試刪除dnsq.dll的時候,它會立刻重啓計算機。由第22點,關機前寫入病毒。
造成一個死循環。
24、監控lsass.exe、smss.exe、dnsq.dll文件,假設不存在,由dnsq.dll重新拷貝回去。
因爲dnsq.dll安裝的是全局鉤子(在所有進程中),所以非常麻煩。理論上不可能刪除成功
25、當拷貝失敗後,病毒會調用rd /s /q命令刪除原來的文件,再重新寫入。
那麼所謂的免疫文件夾就失效了,其中包括歧義文件夾。
26、連接http://**.k0***.com/go.asp計算感染人數並跳轉http://**.k0***.com/goto.htm下載***。
過幾天無聊了再去測試.. - -
另外附上安鐵偌的磁碟機專殺:
個人防護建議:
1、打齊系統補丁。
2、安裝殺毒軟件和防火牆,並開啓自動升級。
3、不瀏覽yellow網站,下載軟件時儘量到大網站或官方。