Lsass.exe、smss.exe、alg.exe病毒的分析和处理办法

Lsass.exe、smss.exe、alg.exe病毒的分析和处理办法

到目前为止，这个病毒已经演化出很多个版本了。特征是在有几个常驻进程互相保护：

c:\windows\system32\com\lsass.exe

c:\windows\system32\com\smss.exe

c:\windows\system32\drivers\alg.exe

如果手工杀毒，一定要注意把病毒进程和系统进程区别开来，对应的三个同名系统进程的文件分别是c:\windows\system32\lsass.exe、c:\windows\system32\smss.exe和c:\windows\system32\alg.exe。

虽然病毒进程不容易分辨，并且相互保护，但该病毒在重启之后的加载途径则只有两种：

1. 通过在开始菜单->程序->启动文件夹放置~.exe文件；通常是c:\documents and settings\all users\开始菜单/程序/启动/~.exe。把这个文件删掉即可防止病毒在启动的时候加载。
2. 通过在c:\windows\system32\目录下放置dnsq.dll文件，并设置注册表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dll为dnsq.dll，使得dnsq.dll可以在Windows启动的时候注入所有进程，然后由dnsq.dll加载病毒程序。

同时，该病毒还通过如下方式诱骗用户启动，在每个磁盘的根目录下生成两个文件，autorun.inf和pagefile.pif。这倒是很老套的U盘病毒传播办法，但对普通用户来说仍然难以防范。很可能其他地方都清除干净了，一双击磁盘，又全部回来了。

除了隐藏自身，禁止explorer显示隐藏文件等常见手段之外，该病毒有一些新的手段和技术值得注意：

• dnsq.dll成功注入之后，使得三个病毒进程c:\windows\system32\com\lsass.exe、c:\windows\system32\com\smss.exe和c:\windows\system32\drivers\alg.exe都获得了防止调试的能力，因而无法通过任务管理器和其他工具关闭进程，也无法暂停其线程。
• 病毒会周期性地删除自身文件（当然是三个进程相互删除文件），然后重建。并通过调用cacls命令把病毒所在位置的完全控制权限赋予管理员和当前用户。防止用户和管理员通过ntfs权限限制病毒文件的加载。
  由于在默认情况下，新建文件从所在文件夹继承权限，而要保证系统正常运行，c:\windows\system32文件夹必须要能够访问。因此，给管理员限制对该目录下病毒文件的访问造成了很大的困难。
• 病毒会删除一些策略管理模板，防止管理员通过组策略限制病毒的加载。已知病毒会删除C:\WINDOWS\system32\GroupPolicy\Adm\system.adm文件，导致无法通过”用户配置->管理模板->系统“中的”不要运行指定的Windows程序“策略来限制病毒加载。计算机配置中的软件限制策略也无法使用。
• 病毒不仅会关闭常见的安全工具和软件，似乎还会把遇到的新问题发送到网上去。这一点尚不确定，但并不是不可能。

这个病毒应该是最近以来，最难缠的一种病毒了。现在你已经知道它的运行机制，应该有很多种办法来对付它。快刀斩乱麻的方法是这样的：

1. 使用Windows PE光盘启动被感染的计算机；
2. 删除HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dll。
3. 删除如下文件：

   c:\windows\system32\com\netcfg.dll c:\windows\system32\com\netcfg.000
   c:\windows\system32\com\lsass.exe
   c:\wnidows\system32\com\smss.exe
   c:\windows\system32\dnsq.dll
   c:\windows\system32\antitool.exe
   c:\windows\system32\drivers\alg.exe
   c:\windows\system32\drivers\npf.sys
   c:\037589.log 注意这个文件名是可以变化的，可以到c盘根目录下一般不应该有log文件，可以考虑凡是这个位置的log文件全部删除掉。

   当然，这些文件都是具有隐藏和系统属性，需要首先去掉。 此外还有每个磁盘下面的autorun.inf和pagefile.pif。此外，考虑到版本不同，你还应该仔细检查其他启动项，比如开始菜单->启动，看看还有没有~.exe文件，有的话一并删掉。
4. 在注册表中删除所有的以c:\windows\system32\com\netcfg.dll为服务器的com组件。已知几个这样的组件，其clsid开头如下：

   {450ec9c4...
   {d9901239...
   {814293ba...

   前两个位于HKRT\CLSID，后面一个位于HKRT\TypeLib。
5. 确保这些都清楚完毕之后，重新启动即可。

这个病毒如此处心积虑，其目的则在于提高网站排名，病毒不断地访问这个地址：http://www.51.la/?1501203。

这个病毒采用的破坏组策略和解除NTFS限制的办法也再次提醒我们：只有贯彻最小权限原则，才能尽可能保证系统的安全，一旦病毒也获得了管理员权限，清除起来就会困难很多。