请注意!桌面有“幽灵”出没
网络安全
病毒名称:Worm/Downloader.kd
中文名称:桌面幽灵
病毒类型:蠕虫病毒
病毒目的:下载大量病毒
本期医生:icefall
怪!系统时间倒退又复原
我运行了下载的一个文件后,卡巴斯基就显示授权许可文件激活日期错误,系统时间倒退到2001年(图1),过了一会杀毒软件就自动退出了。此外,一些辅助工具,如SREng等双击也没有反应。过了一会,时间自己又恢复到2008年了,卡巴斯基却再也打不开了。请问医生,我是不是遇到病毒了?
引来大量病毒霸占用户电脑
你们知道互联网上被称为“第五代机器狗”的病毒是谁吗?嗯,就是我!我正式的名称是桌面幽灵,行走在广大用户桌面的高级病毒。我进入系统后,先把系统日期改到2001年,这样卡巴斯基就会因为日期错误导致保护模块失效(顺便我也会结束avp.exe进程)。
接着,我找到系统目录下的svchost.exe并注入恶意代码,再用病毒文件替换系统文件mfc40u.dll,然后释放~wxp2ins.250.tmp到临时文件下(数字是随机的),这个文件其实是一个驱动程序,我就靠它进入系统内核,穿透系统还原并修改SSDT(突破杀毒软件的主动防御)。
做到这里还不算完,我还要在注册表中劫持常用的安全软件,让它们全都跑不起来,使用户的安全软件形同虚设。修改system32目录下的lsass.exe,添加输入表项LdrSetSessionName,这个输入表项由替换后的mfc40u.dll提供(嵌入了病毒下载者代码)。lsass.exe提供NT LM Security Support Provider和IPSEC Services服务项(图2),控制了它我就能实现开机自启动。
然后,我就从http://www.dfhtn.cn/baibai.txt下载包括系统杀手、ARP杀手、代理木马、机器狗等大量病毒到用户计算机中,伺机盗窃用户的各种账号和密码、完全控制用户的电脑。
任务执行完毕后,我马上关闭退出。在退出时,我注入了恶意代码的“svchost.exe”进程就会发挥作用,它删除我在磁盘中的文件和临时文件夹下的驱动程序,使计算机用户无法找到我,然后恢复此前的系统时间,一切都是那么的了无痕迹。
解除映像劫持清除病毒
由于该病毒综合应用了不少病毒技术,要有正确的清除顺序才能彻底清除它,具体解决方法如下所示。
第一步:运行系统修复工具SREng(下载地址:http://www.shudoo.com/bzsoft),启动项目中被映像劫持的选项会被红色显示(图3),选中后点击“删除”按钮删除所有被劫持的选项。
第二步:使用安全辅助工具IceSword(下载地址:http://www.shudoo.com/bzsoft)结束lsass.exe进程,然后删除系统目录下的mfc40u.dll。由于Windows具有系统文件保护机制,正常的mfc40u.dll和lsass.exe文件在C:\Windows\system32\dllcache目录下都有备份,直接复制它们到C:\Windows\system32\目录下即可(假设系统盘在C盘)。
第三步:最后重新安装杀毒软件(例如金山毒霸,下载地址:http://www.duba.net/download/index.shtml)并升级病毒库到最新版本,再进行全盘查杀,将病毒残留物彻底清除干净。