专家详解“磁碟机”病毒 - 网络安全 - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 网络安全 » 专家详解“磁碟机”病毒 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

SimpleLove
副版主

帖子 1930
精华 7
无忧币 7053
积分 5730
阅读权限 140

注册日期 2006-1-11

最后登录 2008-7-22

离线

[查看资料] [发短消息] [Blog]

发表于:2008-3-17 21:29　　标题：专家详解“磁碟机”病毒
＜上一帖 | 下一帖＞

新闻来源:天路客
   近日，“磁碟机”病毒在互联网疯狂传播，至今已有超过5万余台电脑感染病毒，病毒造成的直接和间接损失十分巨大。反病毒专家对“磁碟机”病毒进行了详尽的技术分析，令人感到吃惊的是，病毒竟然使用光纤接入的服务器来升级病毒体，即使在下载量巨大的情况下，病毒升级服务器都可以瞬间完成病毒的更新。

中毒后的症状

   反病毒专家介绍，“磁碟机”病毒是典型的驱动病毒。病毒首先利用驱动程序使部分安全软件的监控失效，然后强行关闭目前几乎所有安全工具软件以及几乎所有的杀毒软件。

截止今日，根据现有的数据统计，“磁碟机”病毒及其变种已感染超过5万台电脑，被感染的电脑分布在政府、企事业等众多单位和部门，同时也有大量的个人用户感染病毒。“磁碟机”已经出现100多余个变种，目前病毒感染和传播范围正在呈现蔓延之势。病毒造成的危害及损失十倍于“熊猫烧香”。

专家介绍，电脑感染“磁碟机”变种病毒后，症状表现为运行任意程序时系统经常性死机或长时间卡住不动，病毒会以加密感染的方式感染除系统盘外的其它所有分区内的EXE文件、网页文件、RAR和 ZIP压缩包中的文件等。被感染的文件图标变为16位图标，图标变得模糊，类似马赛克状。病毒一旦发现带有符合安全工具软件相关的窗口名存在，就会强行将其关闭，并发送洪水似垃圾消息。在所有盘符下生成“autorun.inf”和病毒程序文件体，并且会实时检测保护这些文件。病毒会下载20余种木马病毒，用以窃取中毒电脑中有价值的隐私信息。病毒通过十余种方式实现自我保护和避免被杀毒软件查杀，其隐藏和自我保护技术超过以往任何同类病毒。

反毒专家认为，磁碟机病毒是近几年以来发现的病毒技术含量最高、破坏性最强的病毒，其破坏能力、自我保护和反杀毒软件能力均十倍于“熊猫烧香”，建议引起反病毒同行以及各大企事业单位网管员的高度重视。针对该病毒，目前国内反病毒中心已研发推出了“磁碟机”专杀和修复工具，可以强力清除目前所有的变种并有效恢复被感染的EXE文件。

病毒的技术分析

   “磁碟机”通过一个ARP病毒在局域网中迅速传播。在感染了该“ARP病毒”的局域网中，除了系统静态绑定MAC地址的计算机外，其他系统所下载的所有正常EXE程序文件都变成磁碟机病毒变种，该变种文件名为“setup.exe”，系一个RAR自解压格式的安装包，运行后就会在用户系统中安装“磁碟机” 变种。

   病毒会破坏注册表，使用户无法进入“安全模式”，以及无法查看“隐藏的系统文件”，并实时检测保护这个被修改过的病毒选项，恢复后立即重写。破坏注册表，使用户注册表启动项失效，导致部分通过注册表启动项开机运行的安全软件就无法开机启动运行了。修改注册表，实现开启自动播放的功能。防止病毒体被重定向，删除注册表中的IFEO进程映像劫持项。删除组策略限制的注册表项。

   病毒通过搜索注册表，直接强行删除所有安全软件的关联注册表项，使其无法开启监控。利用进程守护技术将病毒的“lsass.exe”、 “smss.exe”进程主体和DLL组件进行关联，实现进程守护。发现病毒文件被删除或被关闭，会马上生成重新。病毒程序以系统级权限运行，部分进程使用了进程保护技术。

   病毒的自我保护和隐藏技术无所不用其极。将DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程)。利用了关机回写技术，在关闭计算机时把病毒主程序体保存到[启动]文件夹中，实现开机自启动。系统启动后再将“启动”文件夹中病毒主体删除掉。这样可以隐蔽启动，而不被用户发现。

   同时，为了避开杀毒软件主动防御功能，病毒采用了反“Hips”的监控技术，为就使得部分仅通过HIPS技术实现主动防御功能的杀毒软件失效。

   病毒有自动升级功能，并有自己的光纤接入的升级服务器，即使在下载流量很大的情况下也可以瞬间升级更新病毒体。该病毒还是反向连接木马下载器，下载列表配置文件在骇客的远程服务器上，骇客可以随时更新不同的病毒变种下载到被感染计算机中安装运行。病毒会下载20种以上的木马病毒程序，其中包括有网络游戏盗号木马和ARP病毒等。病毒还会通过独占的方式访问系统“boot.ini”和“hosts”配置文件。防止DOS级删除病毒体和用hosts文件来屏蔽病毒的恶意网站域名地址。利用控制台命令来设置病毒程序文件的访问运行权限。利用“ping”命令在后台检测当前计算机网络是否连通，如果连通则利用系统 “IE浏览器”进程在后台与骇客服务器进程通信，这样可以躲避部分防火墙的监控。

   针对该病毒，国内反病毒中心已经推出了免费专杀工具，可以有效查杀100多个变种并修复并病毒感染的文件，建议感染病毒的用户下载使用。