[转]对%SystemRoot%system32\drivers\lsass.exe的小分析 by 正奇

显示全部楼层 · 发表于 2006-11-17 20:28:46

对%SystemRoot%system32\drivers\lsass.exe的小分析

病毒信息
File size: 32768 bytes
MD5: 44cfae40db19da550275e960f29a0af4
SHA1: 850ad67f96515b1326eb143c3153a1db4147af37

病毒名称
截至到15日中午,还没有一家反病毒公司对这样本有反应
Antivirus Version Update Result
AntiVir 7.2.0.39 11.15.2006 no virus found
Authentium 4.93.8 11.14.2006 no virus found
Avast 4.7.892.0 11.14.2006 no virus found
AVG 386 11.14.2006 no virus found
BitDefender 7.2 11.15.2006 no virus found
CAT-QuickHeal 8.00 11.14.2006 no virus found
ClamAV devel-20060426 11.14.2006 no virus found
DrWeb 4.33 11.15.2006 no virus found
eTrust-InoculateIT 23.73.56 11.15.2006 no virus found
eTrust-Vet 30.3.3192 11.14.2006 no virus found
Ewido 4.0 11.14.2006 no virus found
Fortinet 2.82.0.0 11.15.2006 no virus found
F-Prot 3.16f 11.14.2006 no virus found
F-Prot4 4.2.1.29 11.14.2006 no virus found
Ikarus 0.2.65.0 11.14.2006 no virus found
Kaspersky 4.0.2.24 11.15.2006 no virus found
McAfee 4895 11.14.2006 no virus found
Microsoft 1.1609 11.15.2006 no virus found
NOD32v2 1866 11.14.2006 no virus found
Norman 5.80.02 11.14.2006 no virus found
Panda 9.0.0.4 11.14.2006 no virus found
Sophos 4.11.0 11.13.2006 no virus found
TheHacker 6.0.1.118 11.14.2006 no virus found
UNA 1.83 11.14.2006 no virus found
VBA32 3.11.1 11.14.2006 no virus found
VirusBuster 4.3.15:9

病毒行为:

释放文件
%SystemRoot%\system32\drivers\lsass.exe
C:\Documents and Settings\用户名\「开始」菜单\程序\启动\cmd.pif

释放到除系统路径外的每个文件夹里_system~.ini文件,属性为隐藏

感染除系统路径外下的所有exe文件
对除系统路径外下的exe动作为
先读原来的exe=>备份一个和文件名一样的.p文件(如原winrar.exe=>产生一个winrar.exe.p)=>将病毒代码写入exe
/*注意winrar.exe.p文件是原来的正常文件,将其改名字为exe运行是正常的程序*/

创建lsass.exe进程,每60秒检查一下病毒路径是否存在.

感染文件
运行感染文件会出现一个隐藏的*.~tmp(*代表原文件名)

*.~tmp
*.~tmp行为,生成一个驱动文件名为?位(最后3为随机数字),检查病毒路径是否存在,不存生成病毒文件,并感染exe.检查完毕,再自行删除产生的驱动

处理建议
由于这病毒修改了exe 所以千万不要在运行受感染的exe
用sreng删除启动项目
[cmd]
<C:\Documents and Settings\用户名\「开始」菜单\程序\启动\cmd.pif -->c:\windows\system32\drivers\lsass.exe
[N/A]><N>
下载killbox删除
c:\windows\system32\drivers\lsass.exe
/*注意这时会提示出现错误要重启*/
清理垃圾_system~.ini
开始=>运行=>cmd
输入
del d:\_system~.ini/f/s/q/a
del e:\_system~.ini/f/s/q/a
del f:\_system~.ini/f/s/q/a
del x:\_system~.ini/f/s/q/a
/*x代表你系统盘符的名字*/
重启后进入系统,可以将受感染的exe都删除.然后手动将.p文件重命名为exe文件使用即可

[ 本帖最后由 navigateqd 于 2006-11-17 20:30 编辑 ]

显示全部楼层 · 发表于 2006-11-23 10:14:45

我好像也中了，不过没有感染exe，只是在kb查的时候有提示...用unlocker 都删除了，不会有什么后遗症吧，呵呵

显示全部楼层 · 发表于 2006-11-28 14:53:09

感谢上帝赐给我们楼主！