昨天突然收到表妹的哀嚎,说正在看网页的时候突然中病毒了。但起因应该不是 Web,现在根据情况看来,应该是来自于局域网内部的传播,因为我看到病毒的对抗代码中有很多针对反 ARP 攻击的内容。不过还是很奇怪,ARP 攻击一般用于 DoS,用于传播倒是少见。要是从网页上的话,有可能是 ANI 漏洞造成的网页挂马。但是又比较没有马的特征……,算了,谈正题吧。
这个病毒会对抗不少主流的安全软件——主要是防病毒软件。瑞星、金山、赛门铁克……,包括一些专杀工具和系统工具也在列表之中。手段有两种,一是映像劫持,二是定时轮询后的 Kill。映像劫持被最近的病毒用得挺多,土!俗!定时轮询做得也很烂,定时的周期过长,以至于我有时间让表妹用 ProcessExplorer 把进程列表给保存出来。大概是害怕CPU占用高到影响运行吧。从这个角度推断,这很可能是学生的作品,因为学生的电脑一般性能不高。
进程列表出来了,结合超级兔子的诊断报告,病毒本体不幸被我逮到。一个名为 wuauclt1.exe 的文件,孤零零地呆在 system32 下。文件的 Version Resources 模拟得跟微软 WinXP SP3 的文件很像,可见就是最近几个月的作品,应该说作者还是下了一番苦心的。可惜文件大小他没有模拟,于是一眼被我瞧出。结合网上的资料,很顺利地就干掉了。
说说主要特征吧:
- 病毒本体 wuauclt1.exe,位于 system32 下。硬盘每个逻辑盘上释放 autorun.inf 和 MSDOS.EXE,作为土得掉渣但却挺有效的辅助潜伏手段。U 盘似乎没有被感染,不知道是不是我表妹防护得当的缘故。
- wuauclt1.exe 大小仅 15KB 左右,正常大小在 150KB 以上,所以仅此一项便可判定。MSDOS.EXE 的大小和 wuauclt1.exe 相同,我没有核对 MD5,估计是同一个文件。
- wuauclt1.exe 在任务管理器中可见,可杀,无副进程交叉守护,未设置为系统进程或隐藏进程,无服务守护,无驱动保护文件。从自身防护这一点上来看,该病毒简直可以说是一无是处,也许作者在这方面的知识比较欠缺吧。将 Explorer 的显示隐藏文件的选项强行定在 NOHIDDEN(屏蔽了 SHOWALL),从而导致在设定文件夹选项时可能会看见一组 RadioButton 亮起了两盏灯。看来不暴露也是不可能的了。
- 由 wuauclt1.exe 负责对抗常见的系统工具,如 ProcessExplorer,甚至对包含相关内容的网页浏览器窗口都进行关闭。360 等安装进程无法完成,估计也是这个原因。映像劫持禁用了某些杀毒软件的执行程序,我表妹的 Symantec 失效就是因为 VPC 和 VPTRAY 被劫持所致。
- 启动项加在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 上面,由于不是常见的启动项放置位置,比较容易被忽视,建议使用工具进行查看。但启动项的名字很马虎地写了个 test,其病毒本质暴露无疑,难道是作者大意了?
- 不明确是否有 Downloader 特性,但根据事后的查杀结果来看应该是有。我准备拿虚拟机来研究研究。另外,病毒有释放 npf.sys,版本还是 4.0.0.755,估计在内网里面也有点动作。
应该说,这个病毒还是不难杀除的,破坏性也不算大。只是由于其针对性的对抗手法,导致普通用户在杀毒软件被禁,继而发现连病毒资料都无法搜索之后,常常会手足无措。根据 test 这个启动项命名看来,该病毒的这个版本应该只是一个中间版本而已,后续的新变种估计很快就会出来。
