網友實戰 與磁碟機一次親密接觸

　　近期在網絡上流傳著一個病毒，變種速度極快感染力超強，據說能破主動防御、能破壞操作系統的安全模式、屏蔽殺軟等功能。一直無緣相見，今天有幸在同事電腦上抓獲甚是欣慰，下面是在高手的指點下解剖給大家看看這個病毒的高明之處。

　　一、感染情況和癥狀

　　病毒被激活後電腦沒有明顯的中毒癥狀，為了加快病毒的發作重新啟動計算機。啟動速度正常，沒有明顯的停滯，首次進入桌面後操作緩慢;WINDOWS任務管理器失效，能正常啟動但是不能操作;系統資源佔用率始終保持在100%;資源管理器和IE均能夠打開但是執行效率很低，要等很久;金山毒霸殺毒軟件不能正常啟動;通過工具軟件檢測發現開啟數個PING.EXE的進程;並間斷性的加載IE廣告;其他軟件能正常使用但是效率都很低;第二次開機計算機運行速度恢復正常，開啟殺毒軟件失敗;無法進入安全模式。這些是中毒後計算機呈現出的表面癥狀，如果你的計算機出現如上癥狀基本可以判定為『磁碟機』的受害者。

　　二、追蹤病毒

　　1、文件刪、寫

　　為了植入的可靠性，病毒會在受攻擊的計算機中大量產生自己的副本文件，在可用磁盤根目錄下生成PAGEFILE.EXE和AUTORUN.INF兩個文件，這兩個文件的用途經歷過U盤病毒的用戶都知道，主要是通過『自動播放』感染的方式傳播病毒，如果關閉了自動播放，病毒會調用注冊表啟用，經測試病毒還會對這2個文件進行定時掃描，一旦刪除短時間內會重新生成;再繼續往下看，病毒將排除系統盤盡可能的感染標准可執行文件，一些RAR的自解壓文件可以幸免而被感染的可執行文件有個典型的特征就是圖標變成256色圖標。在感染可執行文件的同時病毒會在系統盤中丟下了至少8個項目的副本文件C盤根目錄下2個，SYSTEM32\COM目錄下4個，SYSTEM32目錄下2個。如圖一

　　                               被感染的可執行文件和病毒產生的文件

　　2、注冊表刪改

　　通過系統檢測日志軟件的記錄，發現病毒對注冊表進行了大量的修改，主要體現在對安全模式的破壞，也是我們無法進入安全模式的根本原因，具體到如下鍵值SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}(標准的安全模式)SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}(網絡支持的安全模式)被刪除掉了，當然還有其他網絡安全模式這裡不一一列舉;殺毒軟件無法正常啟動也是相同的問題，殺毒軟件的服務啟動項目被病毒刪除了SYSTEM\CurrentControlSet\Services下的類如：KAVBASE(金山毒霸的服務項);為了防止病毒體被重新定位，病毒還將SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options項目徹底刪除掉了。

　　3、病毒的自我修復

　　下面進入病毒自我保護部分的分析，該病毒能破壞主流殺毒軟件和安全工具的正常使用，能破壞系統的安全模式，這些都是被動防御的方式，來看看病毒的主動修復方面。首先病毒在運行過程中會檢查互斥體"xcgucvnzn"，判斷病毒是否已加載在內存中，避免病毒的多次運行;釋放驅動C:\NetApi000.sys(\Device\NetApi000)用於恢復SSDT Hook，接著再自我刪除達到HIPS和主動防御安全軟件失效的作用;病毒還會在\system32\com下啟動smss.exe和lsass.exe，實現守護進程，當其中一個進程被乾掉的時候另一個進程將重新啟動被乾掉的進程，形成一個死循環永遠無法關閉;病毒還會在C:\windows\system32\dnsq.dll安裝全局鉤子，注入所有運行中的進程，一旦DNSQ.DLL進程被關閉操作系統也會自動重啟;最高級的還屬這條，該病毒還使用了byshell的技術，當系統正常關機時自動調用SeShutdownPrivilege函數，dnsq.dll會將C盤下的***.log拷貝至：C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\，系統重新啟動時病毒就會自動重新運行，很多專殺工具失效的主要原因就在這裡。

　　三、清理病毒

　　病毒是相當的聰明，開發者似乎在挑戰安全工程師，針對殺軟的更新也非常迅速，盡管病毒屏蔽了大量的殺毒軟件、安全工具和專殺程序，然爾我們依然可以從一些小工具入手乾掉他。

　　1、阻止病毒再運行

　　大家都知道WIN系統的程序執行主要靠注冊表中的文件關聯類，當這個類被刪除後，幾乎所有程序都無法在WIN系統上運行，利用這一特性阻止病毒的再次運行。首先運行QQKAV這個針對QQ尾巴的病毒的小工具，運行手動殺毒，查找到相關進程，用戶都能看到我們前面所提到的進程，並啟動開機殺毒功能，通過注冊表管理器查找exeflie項將其備份後刪除，確定開機殺毒後工具會強行重啟計算機，如果執行失敗可以通過RESET鍵執行重啟，經過開機前的可以文件清理，此時病毒基本不具有威脅性了。如圖二

　　                                 刪除EXEFLIE項並啟用開機殺毒

　　2、徹底清理病毒

　　將EXEFLIE恢復到注冊表中，重建文件關聯，使計算機能正常運行軟件，依然使用QQKAV工具清理病毒遺留下來的屍體文件。到這裡病毒基本上算被消滅了，剩下的是做一些善後工作，利用SERng軟件把操作系統進行一次修復，目的是能正常使用安全模式，修復完成後將殺毒軟件昇級到最新病毒庫，在安全模式殺毒以確保人工清理的徹底。如圖三

　　                                          修復受損的安全模式

　　編者按：到這裡最新的磁碟機變種的分析和清理就告一段落了，在整個分析過程中用到了很多安全分析工具，因為涉及到經驗判斷方面的問題，用文字難以給讀者清楚的表述，所以這裡沒有進行分析的講解。