瑞星发布红色(一级)安全警报！！！

dsnfls

3月21日，瑞星公司发布红色（一级）安全警报。一个名为“磁碟机（Worm.Win32.Diskgen）”病毒正在网上肆虐，该病毒会试图关闭各种杀毒软件，并自动下载几十种盗号木马病毒，给网民带来极大的损失。瑞星安全专家表示，该病毒的查杀难度超过“熊猫烧香”，截至3月20日，被“磁碟机”感染的电脑已达数十万台。    根据监测和技术分析，瑞星安全专家认为，“磁碟机”病毒是一个具有明确经济目的的病毒犯罪团伙所为，他们借鉴了已经被逮捕的“熊猫烧香”病毒团伙的犯罪经验，非常狡猾，在病毒制造、传播和躲避侦查等方面都下足了功夫。瑞星公司已将掌握的相关资料上报给公安部门。


如何发现电脑已经中毒:
　1.       某些常用安全软件打不开，打开后立即被关闭，或者打开后有被“分尸”的现象，这是由于病毒不断向这些软件发送垃圾消息导致他们不能响应正常的用户指令导致。详情请见图1:Icesword被破坏 图2:Sreng被破坏
    2．安全模式被破坏。用户试图进入安全模式时，显示的是蓝屏，这是由于病毒删除了与安全模式相关的注册表键导致 图3
    3.无法正常显示隐藏文件，且工具－文件夹选项下的“隐藏受保护的操作系统文件”一项被破坏。 图4 图5
    4.打开任务管理器，会发现两个lsass.exe和smss.exe进程 图6
    5.使用Winrar浏览windows32\Com目录下可以发现如下病毒文件
%systemroot%\system32\com\lsass.exe
%systemroot%\system32\com\smss.exe
%systemroot%\system32\com\netcfg.dll
%systemroot%\system32\com\netcfg.000  图7
   6.各盘根目录下有pagefile.pif和autorun.inf文件 图8
   7.系统目录下存在dnsq.dll文件 图9


如何恢复以及删除病毒请看下楼.

dsnfls

http://download.rising.com.cn/zsgj/ravDiskGen.exe
此为RISING的恢复安全环境的工具.
下面我们来了解一下磁碟机的病毒运行行为以及RISING官方对此毒的评估报告
一旦机器中了毒,就会有以下10点现象:
1、在C盘根目录下释放驱动NetApi000.sys，卸掉杀毒软件的钩子，使其监控失效。

　　2、从以下网站下载新病毒：
　　http://www.***.**/*.htm
　　http://js.k***.**/**.asp
　　http://js.k0****.**/**.asp
　　http://js.***.**/***.asp
　　http://js.***.**/****.gif

　　3、删除注册表启动项键值，使病毒外的所有软件无法自启动。例如QQ、msn等可以自行启动的软件就会起不来。

　　4、搜索窗口字符，强行关闭杀毒软件和专杀工具。

　　5、在所有磁盘中添加autorun.inf和pagefile.pif，使得用户双击打开磁盘的同时运行病毒，从而可以U盘传播

　　6、通过calcs命令启动病毒进程得到完全控制权限，使得其他进程无法访问该进程，无法删除，无法手工结束

　　7、感染可执行文件，对正常文件进行加密，如果杀毒，则会造成这些文件损坏。

　　8、双进程守护，每隔0.2秒检查一下自己是否存在，如不存在则重新启动。

　　9、修改注册表，使得用户无法进入安全模式，无法显示隐藏的系统文件。
　　
　　10、检查注册表，如果系统不允许U盘自动运行，则修改之，使U盘中的病毒可以自动运行。

dsnfls

RISING官方对此病毒的分析评估:
这是一个MFC写的感染型病毒。

　　病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。然后在System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。
然后该程序退出，运行刚刚释放的lsass.exe。

　　lsass.exe运行后，会在com文件夹下重新释放刚才所释放的文件，同时会在system32文件夹下释放一个新的动态库文件dnsq.dll，然后生成两个随机名的log文件该文件是lsass.exe和dnsq.dll的副本，然后进行以下操作：

　　1．  从以下网址下载脚本http://www.****.****/*.htm、.....。
　　2．  生成名为”MCI Program Com Application”的窗口。
　　3．  程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。
　　4．  查找带以下关键字的窗口，查找带以下关键字的窗口，如果找到则向其发消息将其退出：RsRavMon、McShield、PAVSRV…
　　5．  启动regsvr32.exe进程，把动态库netcfg.dll注到该进程中。
　　6．  遍历磁盘，在所有磁盘中添加autorun.inf和pagefile.pif，使得用户打开磁盘的同时运行病毒。
　　7．  通过calcs命令启动病毒进程得到完全控制权限，使得其他进程无法访问该进程。
　　8．  感染可执行文件，当找个可执行文件时，把正常文件放在自己最后一个节中，通过病毒自身所带的种子值对正常文件进行加密。

　　smss.exe用来实现进程保护，程序运行后会进行以下操作：

　　1．创建一个名为xgahrez的互斥体，防止进程中有多个实例运行。
　　2．然后创建一个名为MSICTFIME SMSS的窗口，该窗口会对三种消息做出反应：
　　1．WM_QUERYENDSESSION：当收到该消息时，程序会删除注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下的所有键值。
　　2．WM_TIMER：该程序会设置一个时钟，每隔0.2秒查找“MCI Program Com Application”窗口，如果找不到则运行病毒程序。
　　3．WM_CAP_START：当收到该消息时，向其发送退出消息。
　　3．把lsass.exe拷贝到C盘根目录下命名为037589.log，同时把该文件拷到启动目录下实现自启动。
      
　　dnsq.dll通过挂接全局消息钩子，把自己注到所有进程中，该动态库主要用来HOOK API和重写注册表。动态库被加载后会进行以下操作：

　　1．  判断自己所在进程是否是lsass.exe、smss.exe、alg.exe，如果是则退出。
　　2．  HOOK psapi.dll中EnumProcessModules、kernel32.dll中 OpenProcess和CloseHandle这几个API使得杀毒软件无法查杀病毒进程。
　　3．  遍历进程如果进程名为lsass.exe、smss.exe、alg.exe则直接退出，如果是其他进程则创建一个线程，该线程每隔2秒进行以下操作：
　　
　　1．修改以下键值使得用户无法看到隐藏的受保护的系统文件
HKEY_CURRENT_USERSoftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
　　2．删除以下注册表键值使得用户无法进入安全模式
HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
       HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
       HKEY_LOCAL_MACHINE SYSTEM\ControlSet001\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
       3．删除以下注册表项，使得镜像劫持失效
       HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options
　　4．读取以下注册表键值，判断当前系统是否允许移动设备自动运行，如果不允许则修改为允许
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
       NoDriveTypeAutoRun
　　5．修改以下注册表项使得手动修改以下键值无效
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
       Type = radio
　　6．添加以下注册表项使得开机时，系统会把该动态库注到大部分进程中
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Windows
       AppInit_DLLs = %SYSTEM%\dnsq.dll.
　　7．通过calcs命令启动病毒进程得到完全控制权限，使得其他进程无法访问该进程。
　　8．查找带以下关键字的窗口，如果找到则向其发消息将其退出：
SREng 介绍、360safe、木、antivir、…

　　netcfg.dll主要用来下载文件，动态库被加载后会从以下网址下载病毒程序
，查找窗口”MCI Program Com Application”如果该窗口不存在则运行下载的程序。

dsnfls

我以前"一不小心"中了一次熊猫烧香,什么东西全没了....心疼,感觉这次的磁碟机要比上一次的熊猫烧香更厉害,熊猫烧香后面运行的程序是打开一个网站.但我并没有从源码中看出来病毒从那个网站上面下载了些什么东西,或许是我技术还不到家的缘故....但这个病毒不一样了.名目张胆的下载病毒,其中下载的盗号病毒最多的为WOW ,大话系列.望各位看到此帖的升级一下杀软.....其实这个病毒在过年的时候就有了....它比"机器狗"出现的时间要晚一些.但由于RISING等国内知名杀软公司放假,所以就没有重视,机器狗也是小小的肆虐了一时就被杀软给"阉"了.杀软公司并没有重视这个,从而造成了现在的局势.....我刚才试者看看能不能把病毒改成原来的源码形式,结果差些中了毒...望各位小心.

XLM.Kz.Sn2K

真恐怖~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Ilovecsbest

好怕怕～～～～～～～～～～～～～～

John.p

真羡慕制作的那人

SnowmaN

看不懂~~~ ```

SiMen.Angel

有时真的不得不配服那些制作病毒的家伙，太专业了

OoJunjinoO

哇，现在的人
真是越来越有才了
可惜走错了方向