昨夜是 Ubuntu 8.10 的发布日,本来打算在虚拟机里趁热体验一把 GNOME 2.24 的新特性,结果在习惯性地打开我的主页——精弘论坛几个我关注的版块(Firefox 的“多主页”功能,相信非IE用户都体验过),出于以往的习惯将网络与安全排在 Linux 之前——首先看到的是
无牙嘴的
求助帖。处于 Linux 保护之下的我自然无视了那个下载地址背后的潜在威胁,直接下载后送入虚拟机进行观察。
文件名是很文明用语的 setup.exe,图标貌似是 WinRAR 创建的自解压可执行文件,用 7-zip 脱壳后(其实只是解压缩而已,这个壳做得太假了)得到一个较小的 Setup.exe 文件,看来是病毒源文件本身了。执行之后,系统隐藏文件们在我意料之内地集体消失了。Process Explorer 中迅速闪过一串进程,最后停留在一对互斥守护进程上——lsass.exe 和 smss.exe。一种不祥的预感……随后用 7-zip 的文件管理器查看C盘根目录,预感被确认了:pagefile.pif 赫然在目!当时的第一感觉:可怜的孩子,格全盘重装算了……
分析如下:
样本:
文件名 md5sum 大小
setup.exe 311f8eec89fcbd07ec8a837deae38a90 142,803
脱壳后
Setup.exe 9f2c2cf99fbe3249a79d228af7845c0f 94,208
Autorun.inf 信息:
[AutoRun]
open=pagefile.pif
shell\open=打开(&O)
shell\open\Command=pagefile.pif
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=pagefile.pif
释放文件:
C:\037589.LOG 9f2c2cf99fbe3249a79d228af7845c0f 94,208
C:\AUTORUN.INF 106b537598bce8003d787f4c47e6ecb9 172
C:\PAGEFILE.PIF 9f2c2cf99fbe3249a79d228af7845c0f 94,208
C:\DOCUMENTS AND SETTINGS\ALL USERS\「开始」菜单\程序\启动\~.EXE.随机数字.EXE 9f2c2cf99fbe3249a79d228af7845c0f 94,208
C:\WINDOWS\SYSTEM32\随机数字.LOG f515bd3278588b6d58a316d059e2778f 32,256
C:\WINDOWS\SYSTEM32\随机数字.LOG 9f2c2cf99fbe3249a79d228af7845c0f 94,208
C:\WINDOWS\SYSTEM32\DNSQ.DLL f515bd3278588b6d58a316d059e2778f 32,256
C:\WINDOWS\SYSTEM32\COM\LSASS.EXE 9f2c2cf99fbe3249a79d228af7845c0f 94,208
C:\WINDOWS\SYSTEM32\COM\SMSS.EXE ae1cd1d740c265b7f18f827f9e37afab 40,960
C:\WINDOWS\SYSTEM32\COM\NETCFG.DLL d1f6b9273cbb2e23aeed11346d0072c5 16,384
C:\WINDOWS\SYSTEM32\COM\NETCFG.000 d1f6b9273cbb2e23aeed11346d0072c5 16,384
特征:
1.以往版本的 pagefile.pif 的典型特征,详见
此文;
2.在"C:\DOCUMENTS AND SETTINGS\ALL USERS\「开始」菜单\程序\启动\"下添加病毒文件达到开机启动;
3.破坏显示系统隐藏文件和进入安全模式的相关注册表键值。
清理建议:
由于以往推荐的 Windows 清理助手已无法启动,故推荐使用 WinPE 启动系统后再启用安全软件(推荐 Windows 清理助手和 Dr.Web CureIt!)进行全盘扫描。注意隔离被感染的文件,或许以后会有恢复方法。查杀完毕后记得修复显示隐藏文件和安全模式。
参考资料:
手杀最新pagefile.pif病毒变种最完美的磁碟机病毒样本--值得收藏和研究!
