绕主防/Hips的磁碟机新变种 VS 微点

Nblock

被未升级的微点主动防御软件拦截


磁碟机不行啊 这样还过不了微点
太挫了太挫了  


孤独更可靠  磁碟机变种简单分析（lsass.exe、smss.exe、dnsq.dll、NetApi000.sys：
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/4eab77ee3c3ef2ffb2fb95f0.html

这东西接近无敌了：
绕主防/Hips、Byshell技术、监控文件、破组策略/IFEO、U盘感染
进程守护、关杀软、屏蔽安全工具、感染文件（带加密）、破坏安全模式等等

哈哈。
测试为反汇编和一些实机运行跟踪。
因为壳的原因，可能分析的不准确。 :)

1、检查互斥体"xcgucvnzn"，判断病毒是否已加载在内存中。
如存在，则退出，防止多个病毒体被执行。
2、创建文件：
C:\037589.log 93696 字节
C:\lsass.exe.1771547.exe 93696 字节
C:\WINDOWS\system32\Com\lsass.exe 93696 字节
C:\WINDOWS\system32\Com\smss.exe 40960 字节
C:\WINDOWS\system32\Com\netcfg.000 16384 字节
C:\WINDOWS\system32\Com\netcfg.dll 16384 字节
C:\WINDOWS\system32\1878253.log 93696 字节（随机）
C:\WINDOWS\system32\dnsq.dll 32256 字节
3、删除组策略限制的注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer
4、删除：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
5、破坏安全模式，删除：
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
6、防止病毒体被重定向，删除：
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
（禁止写入）
7、释放驱动C:\NetApi000.sys（\Device\NetApi000）恢复SSDT Hook。
最后删除自身。导致HIps和主动防御失效。
8、修改注册表，开启自动播放：
NoDriveTypeAutoRun DWORD: 145
9、删除服务项（如果有）：
SYSTEM\CurrentControlSet\Services\KSysCall
SYSTEM\CurrentControlSet\Services\EQService
SYSTEM\CurrentControlSet\Services\HookSys
SYSTEM\CurrentControlSet\Services\McShield
SYSTEM\CurrentControlSet\Services\tmmbd
SYSTEM\CurrentControlSet\Services\PAVSRV
SYSTEM\CurrentControlSet\Services\SymEvent
SYSTEM\CurrentControlSet\Services\ekrn
SYSTEM\CurrentControlSet\Services\KAVBase
SYSTEM\CurrentControlSet\Services\klif
SYSTEM\CurrentControlSet\Services\AntiVirService
SYSTEM\CurrentControlSet\Services\MPSVCService
10、调用cacls.exe，设置\system32\com 和病毒文件的权限为Everyone:F。
11、\system32\com下启动smss.exe和lsass.exe，使用进程守护。
当一方被结束时，另一个则将其重新启动。
12、C:\windows\system32\dnsq.dll安装全局钩子，注入所有运行中的进程。
13、发送垃圾消息到如下窗口，导致程序无法正常响应，处于假死状态：
avast
mcagent
escan
firewall
AfxControlBar42s
tapplication
antivir
ThunderRT6Timer
thunderrt6formdc
SREng
thunderrt6main
eset
mcafee
afx:
360anti
360safe
avg
facelesswndproc
bitdefender
ewido
#32770
monitor
dr.web
诊
具
SREng 介绍
升级
微点         
防
云
墙
kv
木
狙剑
金山
瑞星
..........
14、尝试关闭包含kissvc、guard、watch、scan、twister字符串的进程。
15、独占方式访问：boot.ini和hosts。防止dos级删除病毒和用hosts屏蔽恶意网站。
16、查找网页格式文件，加入一段框架：
http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70
解密得：http://js.k0102.com/01.asp
该地址会检测referer，返回的来源地址如果有效，则执行：hxxp://js.k0102.com/a11.htm
感谢刺猬大大的指点。
17、ping.exe -f -n 1 www.baidu.com。如果网路通畅，调用IE访问：
hxxp://jj.gxgxy.net/html/dg2.html
hxxp://jj.gxgxy.net/html/qb2.html
每隔一段时间执行一次。垃圾广告啊。
18、在可用磁盘生成：pagefile.exe和Autorun.inf，并每隔几秒检测一次。
19、修改注册表：
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
把REG_SZ, "checkbox"值填充垃圾数据，破坏“显示系统文件”功能。
20、每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项。
如被修改则重新破坏。
21、忽略系统盘感染可执行文件，还加密..感染过的程序图标变16位的（模糊）。
支持Rar压缩包内可执行程序的感染 - -!
22、“高科技”：
使用了byshell的技术，当系统关机时调用SeShutdownPrivilege函数时
这时候dnsq.dll会将C盘下的某某.log拷贝到：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\
名字格式差不多是：~.exe.某某.exe
最后计算机重启后，等病毒完全释放，立刻就删除这个：~.exe.某某.exe
哈哈，真是天衣无缝啊。
其实这种垃圾技术，只要冷启动就可以对付了。
23、尝试删除dnsq.dll的时候，它会立刻重启计算机。由第22点，关机前写入病毒。
造成一个死循环。
24、监控lsass.exe、smss.exe、dnsq.dll文件，假设不存在，由dnsq.dll重新拷贝回去。
因为dnsq.dll安装的是全局钩子（在所有进程中），所以非常麻烦。理论上不可能删除成功
25、当拷贝失败后，病毒会调用rd /s /q命令删除原来的文件，再重新写入。
那么所谓的免疫文件夹就失效了，其中包括歧义文件夹。
26、连接http://**.k0***.com/go.asp计算感染人数并跳转http://**.k0***.com/goto.htm下载木马。
过几天无聊了再去测试.. - -

另外附上安铁偌的磁碟机专杀：
www.kingzoo.com/tools/孤独更可靠/Auk_diskGenKiller.exe

个人防护建议：
1、打齐系统补丁。
2、安装杀毒软件和防火墙，并开启自动升级。
3、不浏览yellow网站，下载软件时尽量到大网站或官方。

rauliang

学习了

冷冷

楼主精神可嘉啊

fantrasive

微点就是好

kuririn

中毒了再用微点看看啊

不过前提是微点在病毒名单中

磁碟机的强大  体现在你中了磁碟机之后

没中毒之前能防住不算啥

再說微点都防的住了 hips怎么可能防不住 笑话

自由

http://**.k0***.com/goto.htm下载木马。
汗颜，解不开。。。。里面
http://**.k0***.com/1.htm~29htm

北方南方

貌似还写了过微点，结果被干掉 了

黄金马甲出租

强大的磁碟机

Nblock

自己看人家中文写的很清楚了吧  hips防不住直接被抹掉 只有靠单纯的拦截hips拦截器才能过关  创建驱动文件然后加载驱动文件，微点行为分析后还能把病毒清除 病毒没抹掉微点反而被微点干掉 说实话怕h粉接受不了 hips的精华就是它的繁琐规则 除了规则+强大的拦截再+沙盘好了 没看到其他出彩的地方 既没有程序行为分析的能力 也没有清除病毒的能力 说白了hips就是一个系统防火软件而已

Nblock

和防火墙其实差不多