McAfee能清除在system32/com下的lsass和smss进程病毒(附extra.dat)

lonjet

最近，我们的网内大量的在system32/com下的lsass和smss进程病毒，而且直接破坏了安全模式，此病毒通过 arp+优盘+exe感染三重传播 非常厉害 解决时这3者必须都要考虑

网上很多的解决方案根本无法清除这些病毒。

有意思的是McAfee认为这个病毒是熊猫烧香的变种。

经过我们采样发给McAfee,终于等来了新的extra.dat,发给大家分享。今天测试了一下，ok，病毒死光光!!!

感谢McAfee的技术人员，谢谢了，你们辛苦了！！！

[ 本帖最后由 lonjet 于 2008-1-14 15:44 编辑 ]

深度扫描

谢谢楼主共享。。。。谢谢 ！


如何使用及测试？谢谢。

[ 本帖最后由 深度扫描 于 2008-1-14 15:04 编辑 ]

lonjet

我在网上找到的一篇该病毒的
行为分析：

1、释放病毒副本：

%Systemroot%\system32\Com\lsass.exe 94208 字节
%Systemroot%\system32\Com\smss.exe 9365 字节
%Systemroot%\system32\Com\netcfg.dll 40960 字节

2、添加启动文件夹，开机启动：

C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif

另外netcfg.dll尝试加载Shellhooks注册表项，但没有实现。

3、调用cacls，本身不判断文件系统（FAT或NTFS），后解除目录Com的权限，设为完全控制。

参数为：C:\winnt\system32\com /e /t /g admin:F

4、连接网络121.11.245.1**（ 广东省惠州市 电信）下载一个ARP病毒

释放到：%Systemroot%\system32\drivers\alg.exe 15181 字节

5、查找硬盘的文件，如名称里有“360”字样则删除。

6、可能会关闭一些窗口：

"ollydbg"
"softice"
"ida"
"asm"
"360"
"木马"
"清除"
..................

7、另外那个仿系统文件的smss.exe，应该和主体lsass.exe是互斥体，也起着进程守护的作用。

8、查找磁盘，生成Auorun.inf和pagefile.pif。

9、跳过C盘，开始感染EXE文件，但并不全部感染。  

感染时先把文件加载内存中，提取其图标资源，最后删除原文件，把修改过的文件栲贝回去。

因为这样，所以图标会变模糊，可能是无法读32位的....（知道的大牛请指导下）

PS：运行感染的文件，会释放一个filename.exe.log。但是仍无法执行

用PE工具对比下，基本上文件是报废了，区段被覆盖，DOS头、入口等都发生变化``

10、感染文件时如果发现Zip和Rar格式的，则用Rar自解压命令释放EXE文件，感染后重新打包放回原处！

汗一个....高科技了  

11、查找硬盘的htm、html、asp、spx、php、jsp网页文件，插入一段框架代码（16进制加密）

解后得：h**p://js.k0102.com/01.asp。

a750828

謝謝樓主的分享

xqiafl

这种类型的病毒.  我在本地上运行了很多,MCAFEE 全部拦截!

深红的雪

有人给McAfee上报病毒是好事,支持楼主

jshzdh

这个病毒已流行一个多月了，当时McAfee可识别不出来，我的系统挂了好几次。后来还是手工修复的

mcsf

谢谢楼主！

wccs

谢谢楼主！留着以后用。

lonjet

大概上报病毒库5日左右搞定。现在McAfee用户不用害怕了。