磁碟机变种 pagefile.pif，lsass.exe，smss.exe

s_wang

希望斑竹置顶顶，设置高亮,因为最近正是这个病毒的发作期,希望大家留意啊!!!!!

以前说过，这个pagefile.pif病毒有点厉害，俺前几天就跟它干上了。当时，俺周围的五台电脑都中了这个毒，而俺处于暴风的中心，而只好担负起杀毒的重任。今天才知道，这个病毒可能是磁碟机病毒的一个新变种。
这是源自不是俺的博客(http://www.butwho.net/)的东西, 原文的地址是http://www.butwho.net/2008/01/Anti_Pagefile_virus.html



这个病毒最让人不爽的地方是，它会杀掉各种杀毒软件进程，同时会关闭冰刃、360safe等常用安全工具，甚至会删除360安全卫士的安装文件。基本上，窗口里带有AntiVirus、Avast、pjf、Icesword、360safe 等等字样的软件都会被它杀掉，甚至连带有360安全卫士按钮的IE浏览器都不放过！另外，大多数小型进程管理工具处理不了病毒进程，而稍微强力一点的，比如超级兔子和优化大师的进程管理工具在运行的时候会停止响应。而且，安全模式文件会被病毒破坏，无法进入安全模式杀毒。这样，一般人用一般工具根本无法杀除病毒——强力的工具都被他干掉了，不强力的工具根本干不了它。
这个病毒还有其他症状（这儿是病毒发作视频），比如定期连接网络、修改注册表禁止显示系统文件、产生%systemroot%\system32\Com\ LSASS.EXE  和 %systemroot%\system32\Com\ SMSS.EXE进程等等。有的时候，可能是因为病毒自身bug，还会弹出“MCI PROGRAM APP；ICATION：LSASS.EXE -应用程序错误”的对话框。
上网搜pagefile.pif，大多数的结果都是针对两年前的老病毒，那些专杀工具根本不管用。这可咋办呢？
俺这里有解决方案！
这个方法是俺在与病毒作斗争的时候无意中发现的！俺当时找遍各种进程工具，妄图杀掉那个lsass进程——这当然不可能。当时俺找到了优化大师，发现优化大师显示这么个开机进程：
这是源自不是俺的博客(http://www.butwho.net/)的东西, 原文的地址是http://www.butwho.net/2008/01/Anti_Pagefile_virus.html





图中的~.exe.72578.exe和~.exe.769171.exe是随机出现的，可能会出现一个或多个，名字中的那串数字也不固定。俺当时看到这两个玩意儿不像好东西，就把它禁了，这时候正好出现了那个“MCI错误”对话框，然后俺就重启了，重启后360就能正常打开了！
然后就监测到这些东西：
这是源自不是俺的博客(http://www.butwho.net/)的东西, 原文的地址是http://www.butwho.net/2008/01/Anti_Pagefile_virus.html



“安全模式相关文件异常”说明病毒修改了安全模式文件，autorun.inf这个自不必说，那个C:\WINDOWS\system32\Com\lsass.exe必然就是毒源了。把这三项修复了，就基本上没问题了。
然后，冰刃就能正常打开了，就可以用冰刃删除其他病毒文件了。
回顾一下，切入点在哪？这么一个牛叉的病毒，为啥用优化大师就能杀掉呢？ 按理说，病毒也知道设立保护进程、定期检查和修复启动项，可这些都需要时间！只要会打这个时间差，让病毒来不及反应，不就能清除了？
￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥华丽的分界线￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥
这样，俺就总结出杀毒方法了！
首先，安装windows优化大师（当然其他能修改启动项的工具也可以），用优化大师清除掉病毒产生的启动项。清除成功后，以迅雷不及掩耳之势关闭计算机！一定要暴力关机，别用windows关机程序，这样病毒就没有时间重建启动项。如果是台式机，直接拍一下机箱上的reset键就行了；如果是笔记本，则要先在电源管理里面设置成“按下电源时无动作”，然后在清除启动项之后按住电源键强行关机（也可提前两秒按下，这样成功率较高）。重启之后，用360安全卫士就能很好地删除病毒。删除后别忘了用冰刃或者其他软件删除残留。
怎么样？很强很暴力吧？
当然，养成好习惯还是很重要的。比如，关闭优盘自动运行，打开文件夹时选择“文件夹”
这是源自不是俺的博客(http://www.butwho.net/)的东西, 原文的地址是http://www.butwho.net/2008/01/Anti_Pagefile_virus.html


图标
而不是鼠标双击，这些小技巧都是很好用的。
另外，希望杀毒软件和安全工具的作者要注意，最好能把标题栏什么的弄得高级一点，让病毒识别不了。俺把文件改名为361safe，病毒就不会删除了。冰刃的作者也可以注意一下。俺发现，如果事先打开冰刃然后运行病毒，冰刃是不会被杀死的。看来Icesword在标题栏和软件窗口里面闪那一下还是留下了后门，冰刃设下的Icesword.exe /c 这个保护机制，在病毒面前也不管用。

卡巴死机爱好者论坛里面有这个病毒的分析，里面的解决方案是用windows PE工具盘，感觉比俺这个办法要麻烦。

另外，病毒会修改注册表，不让显示系统文件。可以按照这里的方法导入注册表文件修复。

高手们有啥意见的，可以放个炮让俺知道一下！
这是源自不是俺的博客(http://www.butwho.net/)的东西, 原文的地址是http://www.butwho.net/2008/01/Anti_Pagefile_virus.html

希望大家的电脑别乱插U盘，关闭U盘自动播放功能，不然，迟早会中毒的
突然感悟，U盘似男人，USB接口似女人，U盘可以全格式，电脑全格就舍不得了，所以，电脑如人，坚决一夫一妻啊!杜绝U盘乱交!!!!!!

此解决方法是昨天晚上12点左右的时候发布的,是目前最新的解决方式.希望中了此毒的朋友,大家要小心了

欧根亲王

上回陪着一个DX杀这病毒 是直接建立相同文件名的文件夹防止病毒复制

cctv7789

top gun~~

s_wang

文件名称：lsass.exe\smss.exe
病毒名称：Worm.Win32.DiskGen(瑞星) Trojan.Win32.Agent.ctd(卡吧)
中文别名：磁碟机
文件长度：94208 byte
编写语言：Microsoft Visual C++ 6.0
文件MD5：0c6852cc681e40e3d4a77f36c8d3c569
依赖平台：Win 9X/ME/NT/2K/XP/2K3
行为分析：
1、释放病毒副本：
%Systemroot%\system32\Com\lsass.exe 94208 字节
%Systemroot%\system32\Com\smss.exe 9365 字节
%Systemroot%\system32\Com\netcfg.dll 40960 字节
2、添加启动文件夹，开机启动：
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif
另外netcfg.dll尝试加载Shellhooks注册表项，但没有实现。
3、调用cacls，本身不判断文件系统（FAT或NTFS），后解除目录Com的权限，设为完全控制。
参数为：C:\winnt\system32\com /e /t /g admin:F
4、连接网络121.11.245.1**（ 广东省惠州市 电信）下载一个ARP病毒
释放到：%Systemroot%\system32\drivers\alg.exe 15181 字节
5、查找硬盘的文件，如名称里有“360”字样则删除。
6、可能会关闭一些窗口：
"ollydbg"
"softice"
"ida"
"asm"
"360"
"木马"
"清除"
..................
7、另外那个仿系统文件的smss.exe，应该和主体lsass.exe是互斥体，也起着进程守护的作用。
8、查找磁盘，生成Auorun.inf和pagefile.pif。
9、跳过C盘，开始感染EXE文件，但并不全部感染。
感染时先把文件加载内存中，提取其图标资源，最后删除原文件，把修改过的文件栲贝回去。
因为这样，所以图标会变模糊，可能是无法读32位的....（知道的大牛请指导下）
PS：运行感染的文件，会释放一个filename.exe.log。但是仍无法执行
用PE工具对比下，基本上文件是报废了，区段被覆盖，DOS头、入口等都发生变化``
10、感染文件时如果发现Zip和Rar格式的，则用Rar自解压命令释放EXE文件，感染后重新打包放回原处！
汗一个....高科技了
11、查找硬盘的htm、html、asp、spx、php、jsp网页文件，插入一段框架代码（16进制加密）
解后得：h**p://js.k0102.com/01.asp。
被和谐了汗，打不开！
解决方法：
1、下载：
http://www.kingzoo.com/tools/孤独更可靠/PowerRmv.com
http://www.kingzoo.com/tools/孤独更可靠/冰刃.rar
2、运行冰刃，结束假冒系统文件的病毒（Lsass.exe和smss.exe）
注意，路径在C:\Windows\system32\Com\下
3、打开，选上抑制杀灭对象生成，填入下面内容后，确定：
C:\Windows\system32\Com\lsass.exe
C:\Windows\system32\Com\smss.exe
C:\Windows\system32\drivers\alg.exe
C:\Windows\system32\Com\netcfg.dll
C:\AUTORUN.INF
C:\pagefile.pif
D:\AUTORUN.INF
D:\pagefile.pif
E:\AUTORUN.INF
E:\pagefile.pif
F:\AUTORUN.INF
F:\pagefile.pif
4、删除文件：
C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif
5、重新安装杀毒软件，以前的杀软可能被感染了。
然后全盘扫。。那些被感染的文件恢复可能性不大``



感谢作者：http://gudugengkekao.blog.51cto.com/172212/50909