磁碟机(Worm.Win32.DiskGen)V93696完整增强版.rar
| 文件大小:1.85 MB | 上传时间: | 下载次数:36 | 浏览次数:63 |
用户等级: | 用户类型:普通会员 | MD5: 871c2c528103e96e825f07f6da1a5883 | |
| 下载链接: 复制地址 | |||
|
本病毒样本只顾研究,学习。打开前虚创建还原点,且慎重 打开。研究后请立即删除,不要储存,传播。如果一旦打开, 并无法删除请立即到http://zhuansha.duba.net/259.shtml 下载专杀。 1.使用磁碟机专杀查杀,提示重起的时候不要重起,查的过程中会停止,这是强行关机或拔电源。 2.然后重起后再用磁碟机专杀查一遍,这是又杀了一个病毒,根据情况是否能用杀软,如不能重启即可。 3.然后打开清理专家,清除几个恶意软件。 请阅读上述后,同意本条款再运行。 下载样本及运行后的一切后果,拒不负责。 打开请慎重!!!!! 软件名称:磁碟机 别名:千足虫、磁盘蠕虫精灵 英文名:dummycom 大小:94208字节 类型:感染型病毒 病毒名称:Worm.Win32.DiskGen 影响级别:★★★☆☆ 运行平台:Windows 9x,Windows ME,Windows NT,Windows 2000, Windows XP, Windows Server 2003 不兼容的系统:Windows 3.x, Macintosh, Unix, Linux 简介:这是一个MFC写的感染型病毒。采用UPX加壳方式试图躲避特征码扫描,加壳后长度为139KB(setup.exe),图标为Windows默认可执行文件图标,病毒扩展名为exe 病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys,该驱动用来恢复SSDT,把杀毒软件挂的钩子全部卸掉。然后在System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。 然后该程序退出,运行刚刚释放的lsass.exe。 lsass.exe运行后,会在com文件夹下重新释放刚才所释放的文件,同时会在system32文件夹下释放一个新的动态库文件dnsq.dll,然后生成两个随机名的log文件该文件是lsass.exe和dnsq.dll的副本,然后进行以下操作: 1. 从以下网址下载脚本http://www.****.****/*.htm、.....。 2. 生成名为”MCI Program Com Application”的窗口。 3. 程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。 4. 查找带以下关键字的窗口,查找带以下关键字的窗口,如果找到则向其发消息将其退出:RsRavMon、McShield、PAVSRV… 5. 启动regsvr32.exe进程,把动态库netcfg.dll注到该进程中。 6. 遍历磁盘,在所有磁盘中添加autorun.inf和pagefile.pif,使得用户打开磁盘的同时运行病毒。 7. 通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。 8. 感染可执行文件和网页文件,当找个可执行文件时,把正常文件放在自己最后一个节中,通过病毒自身所带的种子值对正常文件进行加密。 smss.exe用来实现进程保护,程序运行后会进行以下操作: 1.创建一个名为xgahrez的互斥体,防止进程中有多个实例运行。 2.然后创建一个名为MSICTFIME SMSS的窗口,该窗口会对三种消息做出反应: 1.WM_QUERYENDSESSION:当收到该消息时,程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。 2.WM_TIMER:该程序会设置一个时钟,每隔0.2秒查找“MCI Program Com Application”窗口,如果找不到则运行病毒程序。 3.WM_CAP_START:当收到该消息时,向其发送退出消息。 3.把lsass.exe拷贝到C盘根目录下命名为037589.log,同时把该文件拷到启动目录下实现自启动。 dnsq.dll通过挂接全局消息钩子,把自己注到所有进程中,该动态库主要用来HOOK API和重写注册表。动态库被加载后会进行以下操作: 1. 判断自己所在进程是否是lsass.exe、smss.exe、alg.exe,如果是则退出。 2. HOOK psapi.dll中EnumProcessModules、kernel32.dll中 OpenProcess和CloseHandle这几个API使得杀毒软件无法查杀病毒进程。 3. 遍历进程如果进程名为lsass.exe、smss.exe、alg.exe则直接退出,如果是其他进程则创建一个线程,该线程每隔2秒进行以下操作: 1.修改以下键值使得用户无法看到隐藏的受保护的系统文件 HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowSuperHidden = 0 2.删除以下注册表键值使得用户无法进入安全模式 HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} 3.删除以下注册表项,使得镜像劫持失效 HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options 4.读取以下注册表键值,判断当前系统是否允许移动设备自动运行,如果不允许则修改为允许 HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoDriveTypeAutoRun 5.修改以下注册表项使得手动修改以下键值无效 HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\SuperHidden Type = radio 6.添加以下注册表项使得开机时,系统会把该动态库注到大部分进程中 HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Windows AppInit_DLLs = %SYSTEM%\dnsq.dll. 7.通过calcs命令启动病毒进程得到完全控制权限,使得其他进程无法访问该进程。 8.查找带以下关键字的窗口,如果找到则向其发消息将其退出: 免疫 江民 杀毒 病毒 Avast TtabSheet 进程管理 TpageControl Copylock TsuiForm 版 墙 云 防 Frame 狙剑 微点 AfxControlBar42s Tapplication 费尔 Antivir ThunderRT6Timer thunderrt6formdc 升级 木 thunderrt6main eset mcafee afx: arp avg facelesswndproc bitdefender ewido 具诊 #32770 Monitor Onit Afet Yst mcagent.escan firewall dr.web metapad mozillauiwindowclass cabinetwclass ieframe diskgen dummycom xorer 磁碟机 pagefile.pif smss.exe lsass.exe 360安全 netcfg.dll主要用来下载文件,动态库被加载后会从以下网址下载病毒程序 http://**.k0***.com/data.gif,查找窗口”MCI Program Com Application”如果该窗口不存在则运行下载的程序。 连接网络下载http://*.com/Stop.exe到system32文件夹 命名为ntfsus.exe 该病毒具有arp欺骗功能 连接指定网站下载AntiTool.exe,并会释放一个alg.exe到drivers目录,这个alg.exe似乎是个ARP病毒 一旦运行,全局域网QQ不久就会全掉线… 病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ BackupRestore\KeysNotToRestore下的Pending Rename Operations字串。 病毒通过修改注册表的来把C:\ 下的0357589.log 文件(0357589是一些不固定的数字 ) 改名到“启动”文件夹下的~.exe.664406.exe (664406 也不固定)。 调用API函数SHDeleteKeyA将以下服务删除: MPSVCService AntiVirService AVP KWatchSvc Ekrn SymEvent PAVSRV Tmmbd McShield RsRavMon EQService KSysMon 拷贝自身到%ALLUSERSPROFILE%\「开始」菜单\程序\启动目录下,重命名为~.exe.*******.exe;添加SeShutdownPrivilege特权令牌,获取关机权限,使用API函数ExitWindowsEx强制关机重启。 重启重命名的执行优先级比传统的自启动(一般指HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run)要高,启动完成后又将自己删除或改名回去。这种方式自启动极为隐蔽,现有的安全工具都无法检测的出来。AV终结者专杀无法彻底清除这个磁碟机变种,正是因为这个原因!或者是感染explorer.exe完成自启动。 病毒会自动下载最新版本和其它的一些病毒木马到本地运行 病毒会感染除系统盘\WINDOWS\SYSTEM32目录以外其它目录下的所有可执行文件和网页以及压缩文件。 当搜索到一个可执行文件时,病毒把正常文件放在自己最后一个节中,通过病毒自身所带的种子值对正常文件进行加密,导致清除病毒难度更大。被感染的文件图标变为16位图标,图标变得模糊,类似马赛克状。 如果搜索到一个网页文件,病毒会在文件尾部追加字符串document.write("");或字符串。这一段框架代码(16进制加密)解后得:h**p://js.k0102.com/01.asp。 所以只要运行染了此毒的程序和网页文件就会不是造成系统的重复瞬间感染就是立即连接到恶意网页下载木马病毒。 并且还会感染压缩包内的文件,若机器安装了WinRAR则病毒会调用其中rar.exe释放到临时文件夹,感染压缩包内文件再打包(覆盖原有压缩文件)。 这个病毒太有创意了,这个东西可是被很多人忽视的。原来安全的WinRAR压缩包,病毒解压感染过再打包。 将以下两个网址作为参数,通过API函数CreateProcessA访问这两个网站显示广告信息:http://**.gx***.net/html/dg2.html、http://**.gx***.net/html/qb2.html 每隔一段时间执行一次 连接http://**.k0***.com/go.asp计算感染人数并跳转http://**.k0***.com/goto.htm下载木马 感染途径: 1. 可移动磁盘的自动运行(autorun.inf、pagefile.pif) 2. 其它下载者病毒 3. 感染文件(exe、htm、rar、zip) 4. 恶意网站下载 5. 内网ARP攻击 另外附赠最新版的磁碟机病毒安装程序下载地址http://u.cnmrx.net/setup.exe 再说一遍:安全第一!测试第二!严禁菜鸟下载使用!严禁在正常系统上运行!特别严禁利用本资源进行恶意传播行为,一旦发现,本人将彻底停止对本软件的更新!并且会立即删除本资源!测试研究时一定要高度谨慎,没有十足把握的不允许下载!一旦运行和传播开来所造成的一切后果和损失作者不承担任何责任!所以希望大家能够正确的应用该样本。最后祝大家学习愉快~我的QQ:527892415 |