磁碟机变种,lsass.exe,smss.exe病毒分析

Worm.Win32.Diskgen.gen(磁碟机变种)近日死灰复燃，给广大网友造成很多不便。此恶意程序会以驱动的形式加载恶意文件NetApi00.sys到系统内存，来保护恶意进程lsass.exe,smss.exe不被结束，相关恶意文件不被删除。

一、病毒相关分析：

病毒标签：

病毒名称：Worm.Win32.Diskgen.gen

病毒别名：磁碟机变种

病毒类型：蠕虫

感染平台：Windows

病毒行为：

1、释放驱动文件NetApi00.sys到系统各盘的根目录。

注册为服务NetApi00并加载到内存，然后删除该服务。

//系统每次启动时，都会通过这种方式加载NetApi00.sys。

//该驱动会劫持系统api， 确保恶意程序的进程不被结束，隐藏的系统文件不被显示。

2、释放的其他文件：

%System%\\com\\lsass.exe　94,208 字节

%System%\\com\\smss.exe　20,713 字节

%System%\\com\etcfg.000　45,056 字节

%System%\\com\etcfg.dll　45,056 字节

%System%\\\\dnsq.dll　32,256 字节

//并将该文件注入到进程explorer.exe

还会复制自身到“开始菜单”中的“启动”文件夹并随机命名

在系统盘根目录下生成037589.log的备份文件 //与主程序为同一文件

3、修改注册表：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

"AppInit_DLLs"="%System%\\\\dnsq.dll"

4、程序运行后会执行文件lsass.exe和smss.exe

//由于与系统进程同名，所以在任务管理器中不允许结束

//而用其他程序结束的话，恶意程序加载的驱动会进行过滤

lsass.exe进程会监控窗体，如果出现以下字符串就关闭窗体，

……（略）

手工清除方法：

1、删除启动项中加载的相关恶意程序。

2、保证“开始菜单”中“启动”文件夹中没有恶意程序文件。

3、用命令“attrib dnsq.dll -s -h”去除文件dnsq.dll的附加属性。

4、重命名文件dnsq.dll后，立即关闭电源或强制启动系统。

//因为恶意程序加载了驱动并删除了启动驱动的服务，所以通过这种方法使下次启动不加载驱动

5、重新启动后，用超级巡警删除各盘的根目录的autorun.inf和pagefile.pif

//注意不要双击打开任何磁盘，防止重新运行恶意程序。

6、将注册表项AppInit_DLLs置空，用超级巡警修复安全模式。

7、删除恶意程序生成的相关文件