网上“晒”病毒 “磁碟机”详尽分析报告

　　“磁碟机”病毒是一个MFC写的感染型病毒。病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。然后在System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。

　　然后该程序退出，运行刚刚释放的lsass.exe。

　　lsass.exe运行后，会在com文件夹下重新释放刚才所释放的文件，同时会在system32文件夹下释放一个新的动态库文件dnsq.dll，然后生成两个随机名的log文件该文件是lsass.exe和dnsq.dll的副本，然后进行以下操作：

　　1．从以下网址下载脚本http://www.****.****/*.htm、.....。

　　2．生成名为”MCI Program Com Application”的窗口。

　　3．程序会删除注册表SOFTWAREMicrosoftWindowsCurrentVersionRun项下的所有键值。

　　4．查找带以下关键字的窗口，查找带以下关键字的窗口，如果找到则向其发消息将其退出：RsRavMon、McShield、PAVSRV…

　　5．启动regsvr32.exe进程，把动态库netcfg.dll注到该进程中。

　　6．遍历磁盘，在所有磁盘中添加autorun.inf和pagefile.pif，使得用户打开磁盘的同时运行病毒。

　　7．通过calcs命令启动病毒进程得到完全控制权限，使得其他进程无法访问该进程。

　　8．感染可执行文件，当找个可执行文件时，把正常文件放在自己最后一个节中，通过病毒自身所带的种子值对正常文件进行加密。

　　smss.exe用来实现进程保护，程序运行后会进行以下操作：

　　1．创建一个名为xgahrez的互斥体，防止进程中有多个实例运行。

　　2．然后创建一个名为MSICTFIME SMSS的窗口，该窗口会对三种消息做出反应：