[病毒] 磁碟机

“千足虫”变种bk（又名“磁碟机”）
详解磁碟机病毒
病毒名称：Win32/Kdcyy.bk
中 文 名：“千足虫”变种bk（又名“磁碟机”）
病毒长度：95744字节
病毒类型：蠕虫
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
近日,“磁碟机”病毒在互联网疯狂传播,至今已有超过5万余台电脑感染病毒,病毒造成的直接和间接损失十分巨大.3月17日,金山毒霸反病毒专家对“磁碟机”病毒进行了详尽的技术分析,令人感到吃惊的是,病毒竟然使用光纤接入的服务器来升级病毒体,即使在下载量巨大的情况下,病毒升级服务器都可以瞬间完成病毒的更新. 金山毒霸2008反病毒专家介绍,“磁碟机”病毒是典型的驱动病毒.病毒首先利用驱动程序使部分安全软件的监控失效,然后强行关闭目前几乎所有安全工具软件以及几乎所有的杀毒软件(金山毒霸2008可以抵御该病毒).
Win32/Kdcyy.bk“千足虫”变种bk是“千足虫”家族的最新成员之一,采用VC++ 6.0编写, 并经过加壳保护处理.“千足虫”变种bk运行后,会在被感染计算机系统的“%SystemRoot%system32com”目录下释放病毒组件文件“lsass.exe”、“smss.exe”、“netcfg.000”和“netcfg.dll”,还会在被感染计算机系统的“%SystemRoot%system32”目录下释放病毒组件文件“dnsq.dll”.利用驱动程序来恢复SSDT Hook,使某些安全软件的监控失效.强行关闭大部分杀毒软件和安全工具软件.被感染计算机系统会经常死机或长时间卡住不动.
利用“ARP病毒”在局域网中进行自我传播.感染除系统盘外所有盘符下的EXE可执行文件、网页文件、RAR和ZIP压缩包中的文件等(加密感染),感染后的程序变为16位的图标,图标变模糊,类似于马赛克.一旦发现与安全相关的窗口存在,强行将其关闭.在所有盘符下生成“autorun.inf”和病毒体,并且对这些文件进行实时检测保护,利用移动设备进行传播.破坏注册表,致使用户无法进入“安全模式”、无法查看隐藏的系统文件,致使注册表启动项失效.修改注册表,实现开启自动播放的功能.强行删除所有安全软件的关联注册表项,使其无法开启监控.利用进程守护技术,将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联,实现进程守护,一旦病毒文件被删除或被关闭,便马上生成并重新运行.以系统级权限运行,部分进程使用了进程保护技术.利用控制台命令来设置病毒程序文件的访问运行权限.利用了重启移动文件的技术,在用户重新启动计算机时,会把病毒主程序体移动到系统[启动]文件夹中,实现开机自启动.“千足虫”变种bk会在被感染计算机系统的后台访问骇客指定的广告站点,进行提升访问量,刷网络排名等操作.另外,“千足虫”变种bk还可以自升级.病毒的自我保护和隐藏技术无所不用其极.将DLL组件会插入到系统中几乎所有的进程中加载运行(包括系统级权限的进程).利用了关机回写技术,在关闭计算机时把病毒主程序体保存到[启动]文件夹中,实现开机自启动.系统启动后再将[启动]文件夹中病毒主体删除掉.这样可以隐蔽启动,而不被用户发现.
　　同时,为了避开杀毒软件主动防御功能,病毒采用了反“Hips”的监控技术,为就使得部分仅通过HIPS技术实现主动防御功能的杀毒软件失效.
　　“磁碟机”通过一个ARP病毒在局域网中迅速传播.在感染了该“ARP病毒”的局域网中,除了系统静态绑定MAC地址的计算机外,其他系统所下载的所有正常EXE程序文件都变成磁碟机病毒变种,该变种文件名为“setup.exe”,系一个RAR自解压格式的安装包,运行后就会在用户系统中安装“磁碟机”变种.
　　病毒会破坏注册表,使用户无法进入“安全模式”,以及无法查看“隐藏的系统文件”,并实时检测保护这个被修改过的病毒选项,恢复后立即重写.破坏注册表,使用户注册表启动项失效,导致部分通过注册表启动项开机运行的安全软件就无法开机启动运行了.修改注册表,实现开启自动播放的功能.防止病毒体被重定向,删除注册表中的IFEO进程映像劫持项.删除组策略限制的注册表项.
　　病毒通过搜索注册表,直接强行删除所有安全软件的关联注册表项,使其无法开启监控.利用进程守护技术将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联,实现进程守护.发现病毒文件被删除或被关闭,会马上生成重新.病毒程序以系统级权限运行,部分进程使用了进程保护技术.
　　病毒有自动升级功能,并有自己的光纤接入的升级服务器,即使在下载流量很大的情况下也可以瞬间升级更新病毒体.该病毒还是反向连接木马下载器,下载列表配置文件在骇客的远程服务器上,骇客可以随时更新不同的病毒变种下载到被感染计算机中安装运行.病毒会下载20种以上的木马病毒程序,其中包括有网络游戏盗号木马和ARP病毒等.病毒还会通过独占的方式访问系统“boot.ini”和“hosts”配置文件.防止DOS级删除病毒体和用hosts文件来屏蔽病毒的恶意网站域名地址.利用控制台命令来设置病毒程序文件的访问运行权限.利用“ping”命令在后台检测当前计算机网络是否连通,如果连通则利用系统“IE浏览器”进程在后台与骇客服务器进程通信,这样可以躲避部分防火墙的监控.
　　针对该病毒,金山毒霸2008反病毒中心已经推出了免费专杀工具,可以有效查杀100多个变种并修复并病毒感染的文件,建议感染病毒的用户下载使用.
+++++++++++++++++++++++++++++++++++
Win32/Kdcyy.bk“千足虫”变种bk和Trojan/PSW.OnLineGames.wfv“网游窃贼”变种wfv值得关注。
　　病毒名称：Win32/Kdcyy.bk
　　中 文 名：“千足虫”变种bk(又名“磁碟机”)
　　病毒长度：95744字节
　　病毒类型：蠕虫
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　Win32/Kdcyy.bk“千足虫”变种bk是“千足虫”家族的最新成员之一，采用VC++ 6.0编写， 并经过加壳保护处理。“千足虫”变种bk运行后，会在被感染电脑系统的“%SystemRoot%system32com”目录下释放病毒组件文件“lsass.exe”、“smss.exe”、“netcfg.000”和“netcfg.dll”，还会在被感染电脑系统的“%SystemRoot%system32”目录下释放病毒组件文件“dnsq.dll”。利用驱动程式来恢复SSDT Hook，使某些安全软体的监控失效。强行关闭大部分杀毒软体和安全工具软体。被感染电脑系统会经常死机或长时间卡住不动。利用“ARP病毒”在局域网中进行自我传播。感染除系统盘外所有盘符下的EXE可执行文件、网页文件、RAR和ZIP压缩包中的文件等(加密感染)，感染后的程式变为16位的图标，图标变模糊，类似于马赛克。一旦发现与安全相关的窗口存在，强行将其关闭。在所有盘符下生成“autorun.inf”和病毒体，并且对这些文件进行实时检测保护，利用移动设备进行传播。破坏注册表，致使用户无法进入“安全模式”、无法查看隐藏的系统文件，致使注册表启动项失效。修改注册表，实现开启自动播放的功能。强行删除所有安全软体的关联注册表项，使其无法开启监控。利用进程守护技术，将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联，实现进程守护，一旦病毒文件被删除或被关闭，便马上生成并重新运行。以系统级许可权运行，部分进程使用了进程保护技术。利用控制台命令来设置病毒程式文件的访问运行许可权。利用了重启移动文件的技术，在用户重新启动电脑时，会把病毒主程式体移动到系统[启动]文件夹中，实现开机自启动。“千足虫”变种bk会在被感染电脑系统的后台访问骇客指定的广告站点，进行提升访问量，刷网路排名等操作。另外，“千足虫”变种bk还可以自升级。
　　病毒名称：Trojan/PSW.OnLineGames.wfv
　　中 文 名：“网游窃贼”变种wfv
　　病毒长度：8173字节
　　病毒类型：木马
　　危害等级：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　Trojan/PSW.OnLineGames.wfv“网游窃贼”变种wfv是“网游窃贼”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“网游窃贼”变种wfv运行后，自我插入到被感染电脑系统的“explorer.exe”进程中载入运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染电脑系统的后台利用HOOK和记忆体截取等技术盗取网路游戏《战魂 Online》玩家的游戏帐号、游戏口令、仓库口令、角色等级等资讯，并在后台将玩家资讯发送到骇客指定的远程伺服器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给《战魂 Online》游戏玩家带来非常大的损失。