Re: [中毒] LSASS.EXE的問題

看板AntiVirus (防毒)作者gummybears (科科)時間17年前 (2007/12/22 00:02)推噓5(5推 0噓 5→)

留言10則, 5人參與討論串1/3 (看更多)

下載下來玩了一下，中毒後的情況大致上是這樣... (以下動作並不是一次完成的，有些動作要重新開機好幾次後才會完成，不過這些動作的順序大致上跟我打的順序相同) (1) 為防止防毒軟體和防火牆運作，刪除以下機碼： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 注意是刪除整個機碼，不是"清空" 不過個人覺得這招很爛，因為如果防毒軟體是以服務的方式啟動的話就沒用了而且只刪除HKLM下的Run機碼，HKCU的不會刪... (2) 刪除以下註冊值，以破壞安全模式： HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} (3) 修改註冊表，使系統不能顯示隱藏檔案 (4) 查找帶有某些關鍵字的進程，並阻止其正常運行或將其關閉 (5) 建立下列檔案並執行： %SystemRoot%\system32\com\LSASS.EXE %SystemRoot%\system32\com\SMSS.EXE %SystemRoot%\system32\com\netcfg.dll %SystemRoot%\system32\com\netcfg.000 其中LSASS.EXE在每次啟動的時候都會監控HKLM下的Run機碼，如果發現使用者修復此段機碼的話則再次執行刪除動作，並鎖定HOST檔案，使用戶不能存取，但不會修改該檔案的內容 (6) ping百度網站以確定系統是否連接到網路，若封包全部遺失則不執行任何動作，如果 ping成功的話則啟動IE(背景執行，不會出現在工具列上)，並連到遠端網站下載其它惡意程序，就小弟知道的檔案有： %SystemRoot%\system32\000.cfg0 %SystemRoot%\system32\packet.dll %SystemRoot%\system32\pthreadVC.dll %SystemRoot%\system32\wpcap.dll %SystemRoot%\system32\dnsq.dll %SystemRoot%\system32\appand.exe %SystemRoot%\system32\drivers\npf.sys %SystemRoot%\system32\drivers\alg.exe %SystemRoot%\system32\ntfsus.exe 其它還有很多，族繁不及備載，因為這些檔案都是要透過網路下載的，所以要等很久才會全部下載完，但小弟實在沒那個耐心等他慢慢下載完... (7) 在各磁碟區建立pagefile.pif、autorun.inf，使用戶在開啟任一磁區時都會啟動病毒 (8) 建立BHO：名稱：IfObj Control CLSID：{D9901239-34A2-448D-A000-3705544ECE9D} 路徑：%SystemRoot%\system32\com\netcfg.dll (9) 感染邏輯磁區的應用程式，如果使用者有安裝WinRAR的話還會透過-inul、-ibck等背景解壓縮命令來感染壓縮檔內的應用程式檔案，被病毒感染的應用程式圖標顏色會變得十分粗糙，很容易分辨 (10) 此病毒不會透過註冊表來達到隨機啟動的目的，而是在系統每次關機或重新啟動時釋放~.exe至"C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動" ，使系統在開機時會自動執行~.exe，此應用程式會執行LSASS.EXE和SMSS.EXE，啟動後隨即自我刪除，因此使用類似Hijackthis或SREng的掃描工具無法發現其啟動方式，而釋放在All Users下的原因是為了防止使用者利用其他使用者帳戶進入系統來刪除中毒用戶下的~.exe(放在All Users下不論使用哪個帳戶進入系統都會啟動~.exe) 刪除方法：刪除的方法其實很簡單，以下提供兩種刪除的方法，如果你有WinRAR、OTMoveIt和SREng 的話請看第一種方法，如果什麼都沒有，只有一台中毒的電腦的話請看第二種： Solution1： (1) 停用網路，避免病毒持續從遠端下載惡意程序，並關閉系統還原及瀏覽器 (2) 使用OTMoveIt將下列檔案刪除： %SystemRoot%\system32\com\LSASS.EXE %SystemRoot%\system32\com\SMSS.EXE %SystemRoot%\system32\com\netcfg.dll %SystemRoot%\system32\com\netcfg.000 -------------------------------------------------------------- %SystemRoot%\system32\000.cfg0 %SystemRoot%\system32\packet.dll %SystemRoot%\system32\pthreadVC.dll %SystemRoot%\system32\wpcap.dll %SystemRoot%\system32\dnsq.dll %SystemRoot%\system32\appand.exe %SystemRoot%\system32\drivers\npf.sys %SystemRoot%\system32\drivers\alg.exe %SystemRoot%\ntfsus.exe 注意分隔線之前的檔案是病毒本身建立的，分隔線之後的檔案則是病毒利用網路至遠端網站下載的，因此每部系統內有的檔案不一定相同，要看病毒下載了多少檔案而定 (3) 執行(2)後OTMoveIt會要求重新開機，重新開機後注意不要進入任何磁區，否則會觸發pagefile.pif使病毒再生。利用WinRAR進入到各磁區下檢查pagefile.pif和 autorun.inf是否確實被刪除，再到%SystemRoot%\system32\com下將SMSS.EXE刪除，由於使用OTMoveIt會有一部分的檔案刪除不完全，因此需要利用WinRAR來重新檢查一次 (4) 利用SREng，將IfObj Control這個BHO刪除 (5) 刪除和上述病毒檔案相關的註冊值，但是刪除的時候要注意，因為Windows系統中確實有名為LSASS.EXE、SMSS.EXE和alg.exe的系統檔案，故刪除註冊值時要注意刪除的是和病毒相關的註冊值還是和系統檔案相關的註冊值(從檔案的位置來分辨) (6) 添加下列註冊值以修復安全模式： HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" (7) 新增機碼： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Solution2： (1) 停用網路，避免病毒持續從遠端下載惡意程序，並關閉系統還原及瀏覽器 (2) 在"C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動"目錄下建立一個名為~.exe的資料夾，然後重新開機，由於該目錄下已經有一個名為~.exe的檔案，故病毒無法在重新開機時在該目錄下釋放~.exe，因此系統重新啟動後病毒不會啟動 (3) 重新開機後注意不要進入任何磁區，否則會觸發pagefile.pif使病毒再生。從[開始]→[執行]，輸入cmd, 利用命令列來修改病毒檔案的屬性，並加以刪除，例如假設我的系統有兩個分割區，分別為C和D，則可利用以下命令刪除： @echo off attrib -a -r -s -h "C:\WINDOWS\system32\com\LSASS.EXE" del "C:\WINDOWS\system32\com\LSASS.EXE" attrib -a -r -s -h "C:\WINDOWS\system32\com\SMSS.EXE" del "C:\WINDOWS\system32\com\SMSS.EXE" attrib -a -r -s -h "C:\WINDOWS\system32\com\netcfg.dll" del "C:\WINDOWS\system32\com\netcfg.dll" attrib -a -r -s -h "C:\WINDOWS\system32\com\netcfg.000" del "C:\WINDOWS\system32\com\netcfg.000" attrib -a -r -s -h "C:\autorun.inf" del "C:\autorun.inf" attrib -a -r -s -h "C:\pagefile.pif" del "C:\pagefile.pif" attrib -a -r -s -h "D:\autorun.inf" del "D:\autorun.inf " attrib -a -r -s -h "D:\pagefile.pif" del "D:\pagefile.pif" 其他由網路下載下來的惡意程序也可以用相同的方式刪除 (4) 刪除和上述病毒檔案相關的註冊值，但是刪除的時候要注意，因為Windows系統中確實有名為LSASS.EXE、SMSS.EXE和alg.exe的系統檔案，故刪除註冊值時要注意刪除的是和病毒相關的註冊值還是和系統檔案相關的註冊值(從檔案的位置來分辨) (5) 添加下列註冊值以修復安全模式： HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive" (6) 新增機碼： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 這隻病毒其實不難刪除，但是如同junorn大所說的，麻煩的地方在於無法使用目錄建立防止檔案寫入的方式，因為該病毒啟動時執行的命令列為： rd %systemroot%\system32\com\LSASS.EXE /s /q rd %systemroot%\system32\com\SMSS.EXE /s /q rd %systemroot%\system32\com\netcfg.dll /s /q rd %systemroot%\system32\com\netcfg.000 /s /q rd %systemdrive%\autorun.inf /s /q rd %systemdrive%\pagefile.pif /s /q 故病毒每次啟動都會將原有檔案刪除再重新建立一次，因此無法免疫，也就是說只要運行那些被病毒感染的應用程式，系統仍然會中毒，無法避免… -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.166.26.236