磁碟机病毒(smss.exe lsass.exe)与解决方法
A部分中毒表现:
所有杀毒软件、安全工具不能运行 弹出垃圾钓鱼网页 进程中有用户名为用户(非system)
的lsass.exe和smss.exe的两个守护进程 结束不掉--即任务管理器中lsass等进程有两个。
感染可执行文件以及rar zip中的可执行文件文件图标变模糊不清
安全模式进入则蓝屏联网下载木马 有arp欺骗病毒 盗号木马等,qq密码被盗,网络时断时续,并且连累同学也不能上网。
据网络中心kaida老师统计,现在95%左右的arp是这个病毒所为。
时间一久,系统被拖得很慢很慢,几乎不能动弹。
B部分 病毒分析(可以略过不看)
此病毒绕主防、Hips、Byshell技术、监控文件、破组策略/IFEO、U盘感染、进程守护、
关杀软和屏蔽安全工具(不用映像劫持、并且把映像劫持禁用)、感染文件(带加密)
、破坏安全模式等等
坏事都快给他做绝了
运行此病毒 则
1、检查互斥体"xcgucvnzn",判断病毒是否已加载在内存中。如存在,则退出,防止多
个病毒体被执行。
2、创建文件:
C:\037589.log 93696 字节
C:\lsass.exe.1771547.exe 93696 字节
C:\WINDOWS\system32\Com\lsass.exe 93696 字节
C:\WINDOWS\system32\1714954.log 93696 字节(随机)
C:\Documents and Settings\All Users\「开始」菜单\程序\启动 ~.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动 ~.exe.81665.exe
见下文22的说明 "启动"下的exe可能没有 如果双系统或者用pe启动盘进去则会见到
如上文件大小为93696 字节皆为病毒原文件,其中xxxxxxx.log会在关机时复制到"启动"
下重命名为~.exe.随机数字.exe
C:\pagefile.exe 8192 字节
E:\pagefile.exe 8192 字节
这两个文件真不知道做什么的 汗
C:\WINDOWS\system32\divers\alg.exe 有可能没有
C:\WINDOWS\system32\dnsq.dll 32256 字节
C:\WINDOWS\system32\Com\smss.exe 40960 字节
C:\WINDOWS\system32\Com\netcfg.000 16384 字节
C:\WINDOWS\system32\Com\netcfg.dll 16384 字节
3、删除组策略限制的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer
4、删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等
5、删除SYSTEM\CurrentControlSet\Control\SafeBoot\下面四个子项,破坏安全模式。
6、防止病毒体被重定向,删除:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
(删除权限、禁止写入)
7、调用系统程序cmd.exe加载驱动C:\NetApi000.sys(\Device\NetApi000)恢复SSDT
Hook。
最后删除自身。导致HIps和主动防御失效。
8、修改注册表,开启自动播放:NoDriveTypeAutoRun DWORD: 145
9、删除主动防御、Hips等安全软件的服务项(如果有)
10、调用cacls.exe,设置\system32\com 和病毒文件的权限为Everyone:F。
11、\system32\com下启动smss.exe和lsass.exe,使用进程守护。
当一方被结束时,另一个则将其重新启动。
12、C:\windows\system32\dnsq.dll安装全局钩子,注入所有运行中的进程。
13、发送垃圾消息到杀软和安全工具窗口,导致程序无法正常响应,处于假死状态:
14、尝试关闭包含kissvc、guard、watch、scan、twister字符串的进程。
15、独占方式访问:boot.ini和hosts。防止dos级删除病毒和用hosts屏蔽恶意网站。
16、查找网页格式文件,感染之,并且,检查是否联网,是则不断打开垃圾钓鱼网站等
18、在可用磁盘生成:pagefile.exe和Autorun.inf,每隔几秒检测一次存在否,且独占
方式访问这两个文件,删除、查看几乎成为不可能。
19、修改注册表:
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidde
n把REG_SZ, "checkbox"值填充垃圾数据,破坏"显示系统文件"功能。
20、每隔一段时间会检测自己破坏过的显示文件、安全模式、IFEO、病毒文件等项。如
被修改则重新破坏。
21、忽略系统盘感染可执行文件,还加密..感染过的程序图标变16位的(模糊)。并且
感染RAR、zip压缩包内可执行程序^_^!
22、使用了byshell的技术,当系统关机时调用SeShutdownPrivilege函数时
这时候dnsq.dll会将C盘下的某某.log拷贝至:C:\Documents and Settings\All
Users\「开始」菜单\程序\启动\格式差不多是:~.exe.随机数字.exe最后计算机重启后
,等病毒完全释放,立刻就删除这个:~.exe.某某.exe其实这种垃圾技术,只要冷启动
就可以对付了。
23、尝试重命名病毒文件lsass.exe时、尝试删除dnsq.dll的时候,它会立刻重启计算机
由第22点,关机前写入病毒。造成一个死循环。
24、监控lsass.exe、smss.exe、dnsq.dll文件,假设不存在,由dnsq.dll重新拷贝回去
。因为dnsq.dll安装的是全局钩子(在所有进程中),所以非常麻烦。理论上不可能删
除成功
25、当拷贝失败后,病毒会调用rd /s /q命令删除原来的文件,再重新写入。那么所谓
的免疫文件夹就失效了,其中包括歧义文件夹,比如qinglan..这类文件夹。
C部分 预防以及处理方法: ( 任选其一就好了,如果你乐意……多选我也不反对)
1、病毒删除SYSTEM\CurrentControlSet\Control\SafeBoot\下面四个子项破坏安全模式
我们选择把安全模式保护起来
2、对于磁盘格式为NTFS的,修改文件夹的高级属性,将所有用户组修改此文件夹的权限删除。
(如果硬盘不是ntfs格式 开始 运行 cmd 然后convert.exe /?按照提示做 比如 你要将D盘转化为ntfs 输入 convert.exe D:/FS:NTFS)