pagefile.pif(磁碟机变种)释放病毒副本,添加启动文件夹,开机启动,调用cacls,本身不判断文件系统(FAT或NTFS),后解除目录Com的权限,设为完全控制等行为。
pagefile.pif(磁碟机变种)
Worm.Win32.DiskGen
文件名称:lsass.exe\smss.exe
病毒名称:Worm.Win32.DiskGen(瑞星) Trojan.Win32.Agent.ctd(卡吧)
中文别名:磁碟机
文件长度:94208 byte
编写语言:Microsoft Visual C++ 6.0
文件MD5:0c6852cc681e40e3d4a77f36c8d3c569
依赖平台:Win 9X/ME/NT/2K/XP/2K3
行为分析:
1、释放病毒副本:
%Systemroot%\system32\Com\lsass.exe 94208 字节
%Systemroot%\system32\Com\smss.exe 9365 字节
%Systemroot%\system32\Com\netcfg.dll 40960 字节
2、添加启动文件夹,开机启动:
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif
另外netcfg.dll尝试加载Shellhooks注册表项,但没有实现。
3、调用cacls,本身不判断文件系统(FAT或NTFS),后解除目录Com的权限,设为完全控制。
参数为:C:\winnt\system32\com /e /t /g admin:F
4、连接网络121.11.245.1**( 广东省惠州市 电信)下载一个ARP病毒
释放到:%Systemroot%\system32\drivers\alg.exe 15181 字节
5、查找硬盘的文件,如名称里有“360”字样则删除。
6、可能会关闭一些窗口:
"ollydbg"
"softice"
"ida"
"asm"
"360"
"木马"
"清除"
..................
7、另外那个仿系统文件的smss.exe,应该和主体lsass.exe是互斥体,也起着进程守护的作用。
8、查找磁盘,生成Auorun.inf和pagefile.pif。
9、跳过C盘,开始感染EXE文件,但并不全部感染。
感染时先把文件加载内存中,提取其图标资源,最后删除原文件,把修改过的文件栲贝回去。
因为这样,所以图标会变模糊,可能是无法读32位的....(知道的大牛请指导下)
PS:运行感染的文件,会释放一个filename.exe.log。但是仍无法执行
用PE工具对比下,基本上文件是报废了,区段被覆盖,DOS头、入口等都发生变化``
10、感染文件时如果发现Zip和Rar格式的,则用Rar自解压命令释放EXE文件,感染后重新打包放回原处!
汗一个....高科技了
11、查找硬盘的htm、html、asp、spx、php、jsp网页文件,插入一段框架代码(16进制加密)
解后得:h**p://js.k0102.com/01.asp。
被和谐了汗,打不开!
解决方法:
1、下载:
http://www.kingzoo.com/tools/孤独更可靠/PowerRmv.com
http://www.kingzoo.com/tools/孤独更可靠/冰刃.rar
2、运行冰刃,结束假冒系统文件的病毒(Lsass.exe和smss.exe)
注意,路径在C:\Windows\system32\Com\下
3、打开,选上抑制杀灭对象生成,填入下面内容后,确定:
C:\Windows\system32\Com\lsass.exe
C:\Windows\system32\Com\smss.exe
C:\Windows\system32\drivers\alg.exe
C:\Windows\system32\Com\netcfg.dll
C:\AUTORUN.INF
C:\pagefile.pif
D:\AUTORUN.INF
D:\pagefile.pif
E:\AUTORUN.INF
E:\pagefile.pif
F:\AUTORUN.INF
F:\pagefile.pif
4、删除文件:
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif
5、重新安装杀毒软件,以前的杀软可能被感染了。
然后全盘扫。。那些被感染的文件恢复可能性不大``