病毒名稱：Worm.VcingT.w.102400
中文名稱：磁碟機(jī)變種
病毒長度：36864
威脅級(jí)別：2
病毒類型：Trojan

病毒簡介：
這是一個(gè)下載者病毒,會(huì)關(guān)閉一些安全工具和殺毒軟件并阻止其運(yùn)行運(yùn)行,并會(huì)不斷檢測窗口來關(guān)閉一些殺毒軟件及安全輔助工具 ,破壞安全模式,刪除一些殺毒軟件和實(shí)時(shí)監(jiān)控的服務(wù), 遠(yuǎn)程注入到其它進(jìn)程來啟動(dòng)被結(jié)束進(jìn)程的病毒, 反復(fù)寫注冊(cè)表來破壞系統(tǒng)安全模式,病毒會(huì)在每個(gè)分區(qū)下釋放 AUTORUN.INF 來達(dá)到自運(yùn)行.

病毒功能：
一、病毒通過修改系統(tǒng)默認(rèn)加載的DLL 列表項(xiàng)來實(shí)現(xiàn)DLL 注入,并在注入后設(shè)置全局鉤子.通過遠(yuǎn)程進(jìn)程注入,并檢測是否有相應(yīng)安全軟件和管理工具。通過枚舉進(jìn)程名,通過搜索以下關(guān)鍵字來關(guān)閉進(jìn)程:

Rav avp twister kv watch kissvc scan guard

找到帶有關(guān)鍵字的窗口后，就往目標(biāo)窗口發(fā)送大量的垃圾消息，是其無法處理而進(jìn)入假死的狀態(tài)，當(dāng)目標(biāo)窗口接受到退出、銷毀和WM_ENDSESSION 消息就會(huì)異常退出。

病毒關(guān)閉殺毒軟件的方法沒有什么創(chuàng)新,但關(guān)鍵字變的更短，使一些名字相近的進(jìn)程或窗口也被關(guān)閉。

二、 修改注冊(cè)表破壞文件夾選項(xiàng)的隱藏屬性修改,使隱藏的文件無法被顯示.




三、 刪除注冊(cè)表里關(guān)于安全模式設(shè)置的值，使安全模式被破壞。
病毒會(huì)反復(fù)改寫注冊(cè)表，在病毒被徹底清除之前，使清理專家和AV 終結(jié)者專殺等修復(fù)安全模式的工具失效。

四、 在C: 盤目錄下釋放一個(gè) NetApi00.sys 的驅(qū)動(dòng)文件，通過該驅(qū)動(dòng)隱藏和保護(hù)自身。

五、 令軟件限制策略失效
刪除注冊(cè)表 HKLMSOFTWAREPoliciesMicrosoftWindowsSafer 鍵及其子鍵，使用戶設(shè)定組策略中的軟件限制策略的設(shè)置失效。顯然該病毒作者是根據(jù)部分技術(shù)型網(wǎng)友的清除方法作了改進(jìn)，因?yàn)榇饲坝芯W(wǎng)友建議配置軟件限制策略令磁碟機(jī)病毒無法運(yùn)行。

六、 不斷刪除注冊(cè)表的關(guān)鍵鍵值，來破壞安全模式和殺毒軟件和主動(dòng)防御的服務(wù), 使很多主動(dòng)防御軟件和實(shí)時(shí)監(jiān)控?zé)o法再被開啟。

七、 病毒在每個(gè)硬盤分區(qū)和可移動(dòng)磁盤的根目錄下釋放 autorun.inf 和 pagefile.pif 兩個(gè)文件，來達(dá)到自運(yùn)行的目的。并以獨(dú)占方式打開這兩個(gè)文件，使其無法被直接刪除 、訪問和拷貝 。





八、 病毒為了不讓一些安全工具自啟動(dòng)，把注冊(cè)表的整個(gè) RUN 項(xiàng)及其子鍵全部刪除，并且刪除全部的映象劫持項(xiàng)（意圖不明，大概是為了防止一些利用映象劫持的病毒免疫）。

九、 病毒釋放以下文件：
%SystemRoot%system32Comsmss.exe
%SystemRoot%system32Comnetcfg.000
%SystemRoot%system32Comnetcfg.dll
%SystemRoot%system32Comlsass.exe
然后運(yùn)行SMSS.EXE 和 LSASS.EXE, 進(jìn)程中會(huì)出現(xiàn)多個(gè)smss.exe和LSASS.EXE，和系統(tǒng)正常進(jìn)程同步，以迷惑管理員查看進(jìn)程。

十、 病毒通過重啟重命名方式加載，位于注冊(cè)表HKEY_LOCAL_MACHINESYSTEMControlSet001ControlBackupRestoreKeysNotToRestore下的Pending Rename Operations字串。

病毒通過修改注冊(cè)表的來把C: 下的0357589.log 文件(0357589是一些不固定的數(shù)字 ) 改名到 ”啟動(dòng)” 文件夾下的 ~.exe.664406.exe ( 664406 也不固定)。

重啟重命名的執(zhí)行優(yōu)先級(jí)比傳統(tǒng)的自啟動(dòng)（一般指HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun）要高, 啟動(dòng)完成后又將自己刪除或改名回去. 這種方式自啟動(dòng)極為隱蔽,現(xiàn)有的安全工具都無法檢測的出來. AV 終結(jié)者專殺無法徹底清除這個(gè)磁碟機(jī)變種,正是因?yàn)檫@個(gè)原因!




十一、 病毒會(huì)自動(dòng)下載最新版本和其它的一些病毒木馬到本地運(yùn)行

十二、 病毒會(huì)感染除SYSTEM32 目錄外其它目錄下的所有可執(zhí)行文件。
并且會(huì)感染壓縮包內(nèi)的文件，若機(jī)器安裝了winrar會(huì)調(diào)用其中rar.exe釋放到臨時(shí)文件夾，感染壓縮包內(nèi)文件再打包。

暈啊，這個(gè)死病毒太有創(chuàng)意了，這個(gè)東東可是很多人忽視的，原來安全的rar包，病毒解壓感染過再打包。

感染途徑：
1. 可移動(dòng)磁盤的自運(yùn)行
2. 其它下載者病毒或受感染帶毒文件
3. 惡意網(wǎng)站下載
4. 內(nèi)網(wǎng)ARP攻擊

手動(dòng)清除：
首先把HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSession Manager 下的
PendingFileRenameOperations 值刪除掉，讓它的重啟重命名失效！（懷疑這一招病毒會(huì)很快令其失效，就和前面一樣，隔段時(shí)間重復(fù)檢查和刪除這個(gè)鍵值。）

然后再把機(jī)子斷電，或異常重啟（總之不能正常關(guān)機(jī)?。?。

啥，你不清楚怎么搞？直接拔電源線就是了。因?yàn)樵摬《拘伦兎N在關(guān)機(jī)的時(shí)候往啟動(dòng)項(xiàng)寫病毒，開機(jī)的時(shí)候自殺，導(dǎo)致一般殺毒軟件查不到，但非法關(guān)機(jī)可以使它關(guān)機(jī)的時(shí)候生不成病毒。

重啟后,先別打開盤符，（用好資源管理器，別習(xí)慣雙擊打開盤符）在 CMD 命令行下將各個(gè)分區(qū)下的 autorun.inf 和 pagefile.pif 文件刪除。然后使用專殺或殺毒軟件全盤掃描病毒，因?yàn)樵摬《究梢愿腥境齭ystem32目錄外的其它EXE程序，導(dǎo)致該病毒很難用手工方法徹底刪除，建議升級(jí)毒霸后進(jìn)行全盤殺毒。
毒霸磁碟機(jī)專殺工具下載見附件。

該工具可同時(shí)清除磁碟機(jī)、機(jī)器狗和AV終結(jié)者。

如果各位發(fā)現(xiàn)自己的電腦符合磁碟機(jī)病毒感染的特征，使用金山毒霸磁碟機(jī)專殺也沒能解決這個(gè)問題，請(qǐng)及時(shí)在論壇聯(lián)系發(fā)貼求助，以便我們及時(shí)跟進(jìn)，發(fā)貼請(qǐng)?jiān)谥黝}中加注“磁碟機(jī)”字樣。多謝合作！
http://kad.www.duba.net/kas/DubaTool_AV_Killer.com