磁碟机变种,lsass.exe,smss.exe病毒分析
Worm.Win32.Diskgen.gen(磁碟机变种)近日死灰复燃,给广大网友造成很多不便。此恶意程序会以驱动的形式加载恶意文件NetApi00.sys到系统内存,来保护恶意进程lsass.exe,smss.exe不被结束,相关恶意文件不被删除。
一、病毒相关分析:
病毒标签:
病毒名称:Worm.Win32.Diskgen.gen
病毒别名:磁碟机变种
病毒类型:蠕虫
感染平台:Windows
病毒行为:
1、释放驱动文件NetApi00.sys到系统各盘的根目录。
注册为服务NetApi00并加载到内存,然后删除该服务。
//系统每次启动时,都会通过这种方式加载NetApi00.sys。
//该驱动会劫持系统api, 确保恶意程序的进程不被结束,隐藏的系统文件不被显示。
2、释放的其他文件:
%System%comlsass.exe94,208 字节
%System%comsmss.exe20,713 字节
%System%com
etcfg.00045,056 字节
%System%com
etcfg.dll45,056 字节
%System%\dnsq.dll32,256 字节
//并将该文件注入到进程explorer.exe
还会复制自身到“开始菜单”中的“启动”文件夹并随机命名
在系统盘根目录下生成037589.log的备份文件 //与主程序为同一文件
3、修改注册表:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs"="%System%\dnsq.dll"
4、程序运行后会执行文件lsass.exe和smss.exe
//由于与系统进程同名,所以在任务管理器中不允许结束
//而用其他程序结束的话,恶意程序加载的驱动会进行过滤
lsass.exe进程会监控窗体,如果出现以下字符串就关闭窗体,
……(略)
手工清除方法:
1、删除启动项中加载的相关恶意程序。
2、保证“开始菜单”中“启动”文件夹中没有恶意程序文件。
3、用命令“attrib dnsq.dll -s -h”去除文件dnsq.dll的附加属性。
4、重命名文件dnsq.dll后,立即关闭电源或强制启动系统。
//因为恶意程序加载了驱动并删除了启动驱动的服务,所以通过这种方法使下次启动不加载驱动
5、重新启动后,用超级巡警删除各盘的根目录的autorun.inf和pagefile.pif
//注意不要双击打开任何磁盘,防止重新运行恶意程序。
6、将注册表项AppInit_DLLs置空,用超级巡警修复安全模式。
7、删除恶意程序生成的相关文件