毕业论文论文范文课程设计实践报告法律论文英语论文教学论文医学论文农学论文艺术论文行政论文管理论文计算机安全
您现在的位置: 毕业论文 >> 计算机安全 >> 正文

磁碟机病毒(smss.exe lsass.exe)与解决方法

更新时间:2011-3-26:  来源:毕业论文

磁碟机病毒(smss.exe lsass.exe)与解决方法
A部分中毒表现:

  所有杀毒软件、安全工具不能运行 弹出垃圾钓鱼网页 进程中有用户名为用户(非system)

  的lsass.exe和smss.exe的两个守护进程 结束不掉--即任务管理器中lsass等进程有两个。

  感染可执行文件以及rar zip中的可执行文件文件图标变模糊不清

  安全模式进入则蓝屏联网下载木马 有arp欺骗病毒 盗号木马等,qq密码被盗,网络时断时续,并且连累同学也不能上网。

  据网络中心kaida老师统计,现在95%左右的arp是这个病毒所为。

  时间一久,系统被拖得很慢很慢,几乎不能动弹。

  B部分 病毒分析(可以略过不看)

  此病毒绕主防、Hips、Byshell技术、监控文件、破组策略/IFEO、U盘感染、进程守护、

  关杀软和屏蔽安全工具(不用映像劫持、并且把映像劫持禁用)、感染文件(带加密)

  、破坏安全模式等等

  坏事都快给他做绝了

  运行此病毒 则

  1、检查互斥体"xcgucvnzn",判断病毒是否已加载在内存中。如存在,则退出,防止多

  个病毒体被执行。

  2、创建文件:

  C:\037589.log 93696 字节

  C:\lsass.exe.1771547.exe 93696 字节

  C:\WINDOWS\system32\Com\lsass.exe 93696 字节

  C:\WINDOWS\system32\1714954.log 93696 字节(随机)

  C:\Documents and Settings\All Users\「开始」菜单\程序\启动 ~.exe

  C:\Documents and Settings\All Users\「开始」菜单\程序\启动 ~.exe.81665.exe

  见下文22的说明 "启动"下的exe可能没有 如果双系统或者用pe启动盘进去则会见到

  如上文件大小为93696 字节皆为病毒原文件,其中xxxxxxx.log会在关机时复制到"启动"

  下重命名为~.exe.随机数字.exe

  C:\pagefile.exe 8192 字节

  E:\pagefile.exe 8192 字节

  这两个文件真不知道做什么的 汗

  C:\WINDOWS\system32\divers\alg.exe 有可能没有

  C:\WINDOWS\system32\dnsq.dll 32256 字节

  C:\WINDOWS\system32\Com\smss.exe 40960 字节

  C:\WINDOWS\system32\Com\netcfg.000 16384 字节

  C:\WINDOWS\system32\Com\netcfg.dll 16384 字节

  3、删除组策略限制的注册表项:

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer

  4、删除:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等

  5、删除SYSTEM\CurrentControlSet\Control\SafeBoot\下面四个子项,破坏安全模式。

  6、防止病毒体被重定向,删除:

  SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

  (删除权限、禁止写入)

  7、调用系统程序cmd.exe加载驱动C:\NetApi000.sys(\Device\NetApi000)恢复SSDT

  Hook。

  最后删除自身。导致HIps和主动防御失效。

  8、修改注册表,开启自动播放:NoDriveTypeAutoRun DWORD: 145

  9、删除主动防御、Hips等安全软件的服务项(如果有)

  10、调用cacls.exe,设置\system32\com 和病毒文件的权限为Everyone:F。

  11、\system32\com下启动smss.exe和lsass.exe,使用进程守护。

  当一方被结束时,另一个则将其重新启动。

  12、C:\windows\system32\dnsq.dll安装全局钩子,注入所有运行中的进程。

  13、发送垃圾消息到杀软和安全工具窗口,导致程序无法正常响应,处于假死状态:

  14、尝试关闭包含kissvc、guard、watch、scan、twister字符串的进程。

  15、独占方式访问:boot.ini和hosts。防止dos级删除病毒和用hosts屏蔽恶意网站。

  16、查找网页格式文件,感染之,并且,检查是否联网,是则不断打开垃圾钓鱼网站等

  18、在可用磁盘生成:pagefile.exe和Autorun.inf,每隔几秒检测一次存在否,且独占

  方式访问这两个文件,删除、查看几乎成为不可能。

  19、修改注册表:

  SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidde

  n把REG_SZ, "checkbox"值填充垃圾数据,破坏"显示系统文件"功能。

  20、每隔一段时间会检测自己破坏过的显示文件、安全模式、IFEO、病毒文件等项。如

  被修改则重新破坏。

  21、忽略系统盘感染可执行文件,还加密..感染过的程序图标变16位的(模糊)。并且

  感染RAR、zip压缩包内可执行程序^_^!

  22、使用了byshell的技术,当系统关机时调用SeShutdownPrivilege函数时

  这时候dnsq.dll会将C盘下的某某.log拷贝至:C:\Documents and Settings\All

  Users\「开始」菜单\程序\启动\格式差不多是:~.exe.随机数字.exe最后计算机重启后

  ,等病毒完全释放,立刻就删除这个:~.exe.某某.exe其实这种垃圾技术,只要冷启动

  就可以对付了。

  23、尝试重命名病毒文件lsass.exe时、尝试删除dnsq.dll的时候,它会立刻重启计算机

  由第22点,关机前写入病毒。造成一个死循环。

  24、监控lsass.exe、smss.exe、dnsq.dll文件,假设不存在,由dnsq.dll重新拷贝回去

  。因为dnsq.dll安装的是全局钩子(在所有进程中),所以非常麻烦。理论上不可能删

  除成功

  25、当拷贝失败后,病毒会调用rd /s /q命令删除原来的文件,再重新写入。那么所谓

  的免疫文件夹就失效了,其中包括歧义文件夹,比如qinglan..这类文件夹。

  C部分 预防以及处理方法: ( 任选其一就好了,如果你乐意……多选我也不反对)

  1、病毒删除SYSTEM\CurrentControlSet\Control\SafeBoot\下面四个子项破坏安全模式

  我们选择把安全模式保护起来

  2、对于磁盘格式为NTFS的,修改文件夹的高级属性,将所有用户组修改此文件夹的权限删除。

  (如果硬盘不是ntfs格式 开始 运行 cmd 然后convert.exe /?按照提示做 比如 你要将D盘转化为ntfs 输入 convert.exe D:/FS:NTFS)

[1] [2] [3] 下一页

磁碟机病毒(smss.exe lsass.exe)与解决方法下载如图片无法显示或论文不完整,请联系qq752018766
设为首页 | 联系站长 | 友情链接 | 网站地图 |

copyright©751com.cn 辣文论文网 严禁转载
如果本毕业论文网损害了您的利益或者侵犯了您的权利,请及时联系,我们一定会及时改正。