2006年11月以来,病毒木马疯狂泛滥。这段时间,出现了三个重大病毒疫情:先是“熊猫烧香”,后又是“帕虫”,接着是近期疯狂肆虐的“磁碟机”。
一、2008年2月—3月,“磁碟机”病毒爆发,数十万台电脑被感染,瑞星针对该病毒于3月21日发布了红色(一级)安全警报,并且紧急发放了免费一个月的瑞星杀毒软件2008版,同时紧急升级了瑞星“磁碟机”专杀工具。
该病毒行为:
1.反清除的行为
采用Rootkits技术,可以从系统底层卸载杀毒软件的钩子,同时会释放自己的驱动,这样就会使杀毒软件的监控失效,无法查杀病毒。频繁查找杀毒软件的程序窗口,强行将其关闭。那些没有使用智能主动防御技术的杀毒软件,很容易被此病毒破坏无法运行。运行后,在C盘根目录下释放病毒驱动NetApi000.sys,该驱动用来恢复SSDT,把杀毒软件挂的钩子全部卸掉。这样,杀毒软件的很多功能将无法使用,如文件监控、注册表监控等。同时在%systemroot%\system32\com\目录中释放lsass.exe、smss.exe、netcfg.dll、netcfg.000等病毒文件,在系统目录下释放dnsq.dll文件,实现双进程保护,每隔0.2秒检查一下自己是否存在,如不存在则重新启动,使杀毒软件很难彻底查杀,当用户去结束进程时,必须把smss.exe跟lsass.exe同时结束,任务管理器中也会有双lsass.exe和双smss.exe进程。不断向Icesword、Sreng等安全软件发送垃圾消息导致他们不能响应正常的用户指令,使这些常用安全软件打不开,打开后立即被关闭,或者打开后有被“分尸”的现象。删除与安全模式相关的注册表键,导致用户试图进入安全模式时,显示的是蓝屏。修改注册表项使系统无法正常显示隐藏文件,破坏工具-文件夹选项下的“隐藏受保护的操作系统文件”一项。自动连接病毒服务器下载最新病毒。搜索窗口字符,强行关闭多款杀毒软件和专杀工具。通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程,无法删除,无法手工结束。
2.保证进程中只有一个病毒在运行的行为
建立一个dghauweugsdgerh互斥量,保证进程中只有一个病毒在运行。
3.通过U盘传播的行为
在各盘根目录下释放pagefile.pif和autorun.inf文件,以通过U盘、移动硬盘等移动存储设备传播。检查注册表,如果系统不允许U盘自动运行,则修改之,使U盘中的病毒可以自动运行。
4.下载其它病毒木马的行为
从http://**.c0mo.com、http://**.k0102.com等网站下载数十个木马盗号病毒,试图窃取用户的网游账号装备、网银密码等私密信息。下载“帕虫”、“机器狗”病毒,这三者之间有着惊人相似的攻击手段并且相互感染,纷纷充当了其他木马传播的通道。这些被统称为“木马下载器”的病毒就像艾滋病病毒一样,破坏计算机的免疫系统,“病人”最终会死于各种病原体导致的并发症,而不是艾滋病病毒本身。
5.感染文件的行为
遍历C盘以后的每个磁盘,对每个磁盘的EXE文件进行感染。感染后的程序,运行后会先运行病毒,然后运行用户的EXE文件。
二、2007年5月—6月,“帕虫”病毒爆发,十万多用户遭到侵害,瑞星针对该病毒于6月6日紧急升级了“橙色八月”专杀工具,并提高了瑞星杀毒软件的升级频率,由原来的每周升级17次提高到了21次(每日三次,周末正常升级),遇到恶性病毒提供紧急升级。
该病毒行为:
1.反清除的行为
采用IFEO劫持(windows文件映像劫持)技术,修改注册表,使QQ医生、360安全卫士等几十种常用软件无法正常运行,从而使得用户很难手工清除病毒。终结几十种常用的杀毒软件,如果用户使用google、百度等搜索引擎搜索“病毒”,浏览器也会被病毒强制关闭,使得用户无法取得相关信息。在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下释放一个由8个数字和字母组合文件名的dll和一个同名的dat文件。删除注册表中安全模式的相关键值,造成系统无法进入安全模式。将Windows系统的自动更新和WindowsXP系统的安全中心关闭,降低用户计算机的安全级别。
2.破坏常用软件的行为
使QQ、MSN、迅雷等多种常用程序无法运行。
3.通过U盘传播的行为
在每个磁盘分区上建立自动运行文件,从而使得病毒通过U盘、移动硬盘等移动存储设备传播的概率大大增加。同时,由于每个分区上都有病毒留下的文件,普通用户即使格式化C盘重装系统,也无法彻底清除该病毒。由于使用MP3(或者U盘)交换歌曲和电影文件的用户非常多,使得该病毒传播极广。
4.下载其它病毒木马的行为
自动从后台下载其它的病毒木马并运行,给用户的计算机带来威胁。
三、2006年11月—2007年1月,“熊猫烧香”病毒爆发,多家著名网站遭到攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使病毒的感染范围非常广,中毒企业和政府机构超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位,瑞星针对该病毒于1月12日紧急升级了瑞星“熊猫烧香”专杀工具,又于1月24日提供了全面解决方案。
该病毒行为:
1.反清除的行为
关闭包含特定字符串的窗口,结束特定进程,关闭特定服务。
2.通过U盘传播的行为
建立一个计时器,以6秒为周期在磁盘的根目录下生成setup.exe和autorun.inf文件,并利用AutoRun Open关联使病毒在用户点击被感染磁盘时能被自动运行,从而通过U盘、移动硬盘等移动存储设备传播。打开“我的电脑”,用鼠标右键点击“C盘”、“D盘”等图标,在弹出的菜单中会出现名为“Auto”的项目。用一些辅助工具,如WinRAR等,可以看到根目录下有名为“setup.exe”和“autorun.inf”的文件,其中“setup.exe”的图标为“熊猫烧香”。
3.下载其它病毒木马的行为
以20分钟为周期尝试读取特定网站上的下载文件列表,根据文件列表指定的文件下载,并启动这些程序。
4.感染文件和通过局域网传播的行为
对系统中除盘符为A、B的所有磁盘类型为DRIVE_REMOTE、DRIVE_FIXED的磁盘进行文件遍历感染,感染扩展名为exe、scr、pif、com、htm、html、asp、php、jsp、aspx等的文件。对于前四者将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部),被感染的文件会出现“熊猫烧香”图案(一只熊猫手捧三炷香的样子);对于后六者在尾部加上存在安全漏洞的网址链接,但不感染文件大小超过10485760字节以上的文件和文件名为setup.exe、NTDETECT.COM的文件。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。生成随机几个局域网传播线程,当病毒发现能成功联接攻击目标的139或445端口后,使用内置的一个用户列表及密码字典进行联接,当成功地联接上以后将自己复制过去并利用计划任务启动激活病毒。
5.删除备份文件的行为
删除这些磁盘上的扩展名为GHO的文件。
我们看到,这三大病毒在反清除方面都下了功夫,并且都采用了U盘传播的方式,还带有明显的利益目的,会下载盗号木马病毒,给用户的信息安全带来威胁。
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
