2-11-2008 10:57 PM
2685
[轉貼]防護軟體已死,pagefile+dnsq.dll變種手解
對病毒有興趣的朋友可以找看看這支病毒的變種
pagefile.pif+dnsq.dll
最近在下學校中相當猖狂的隨身碟病毒
這隻病毒如果僅靠傳統的解除方式是無效的
這時候也別求防護軟體了,它只會躺在地上給你打
1.執行這病毒的第一時間,病毒會在特定程式寫入垃圾資料讓防護軟體無回應,在警告使用者前便失去防護能力,近一步入侵系統,目前最可靠的HIPS也很難避免
2.安全模式遭破壞,不可能藉此讓病毒停止運作讓防護軟體產生作用
3.鎖定boot.ini以及host,也無法藉此額外安裝第三方軟體,僅能靠救援光碟
4.說到安裝,第一點寫入垃圾訊息到特定程式也包含具SETUP、INSTALL等關鍵字之程式,當然知名的工具程式也在當中,此時工具程式是完全派不上用場的,工作管理員更不用說了,雖然沒鎖死,但一旦啟動,CPU使用率瞬間飆高,等於也是無法運作
5.具感染力,會感染C磁區以外磁區之執行檔,甚至連壓縮檔中的EXE檔都有感染能力,一不小心又重新執行病毒
6.屬隨身碟病毒的一種,傳播速度極強
7.目前的隨身碟病毒解除皆無法徹底清除,其關鍵就在於它的結構不是一般工具能應付的
8.一般隨身碟病毒不會鎖定他額外生成的檔案,只會砍掉後重新生成,但這隻會
8.同時在系統中執行smss.exe以及lsass.exe兩支系統關鍵程序,這兩個關鍵程序工作管理員無法關閉,且其中一方遭關閉,另一方則會重新啟動對方
9.如果兩者都同時被關閉,那附掛於系統中的dnsq.dll模組會讓系統透過執行額外生成的病毒備份(於C根目錄以及SYSTEM32資料夾中生成的.log檔)重新讓病毒運作
10.順便刪除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
11.關機前再執行一次病毒,確保架構完整
儘管如此,這隻病毒還是有個大漏洞
因為刪除run值,整個病毒架構僅靠在啟動資料夾中的~.exe,且regedit登錄編輯器又沒鎖定,因此透過Image File Execution Options功能就能讓這隻病毒無法運作,但在下覺得這個方法只要鎖定登錄編輯器或是運用關機前執行病毒檢查該串值,這方法就失效了
請將以下字串不含分隔線,複製到記憶本中,另存成.reg檔後執行
===================分隔線===================
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options~.exe]
"Debugger"="Commander's Fake Space - Moesh.co.cc"
===================分隔線===================
重新開機後刪除以下文件,一個都不能少
C:\WINDOWS\system32\Com\LSASS.EXE
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\SMSS.EXE
C:\WINDOWS\system32894729.log
C:\WINDOWS\system32dnsq.dll
C:\WINDOWS\system32\ntfsus.exe
C:\Documents and Settings\All Users\開始功能表\程式\啟動\~.exe
或C:\Documents and Settings\帳戶名稱開始功能表\程式\啟動\~.exe
以及各磁區中的pagefile.pif和autorun.inf
請注意,別直接在我的電腦裡點兩下開啟磁區,那動作會重新執行病毒一次
此時隱藏檔已經遭破壞,因此你也看不到那兩個檔案
這時你可以透過WinRAR來刪除
開啟SREng,進行系統修復,並且刪除IE中的[IfObj Control]插件
最後使用防毒軟體對整個硬碟做掃描,以避免誤執行遭感染的程式又重新執行病毒
因此方法是利用病毒的漏洞,如果再次變種,此招可能便會無效
這時請拿出家家戶戶都有的SuperXP,開啟CIA Commaner,看到上面列表的檔案就砍吧!
不過變種之後結構可能又不相同,那時...各位就自求多福了