認識隨身碟(USB)病毒

patient 26 十月, 2008 23:49 資安與病毒 靜態連結網址 引用 (0)

轉載自『奕瑞科技技術白皮書』

USB 病毒讓許多使用者和MIS頭痛不已,因為它防不勝防,殺了又中、中了再殺,無止盡的變種病毒更讓防毒軟體防不勝防。許多人認為抓不到病毒是防毒軟體的原罪,於是尋求其他的解決方案。但在之下,這些方法真的有效嗎?

本文將帶你深入了解 USB 病毒的危害、手法及防禦之道。

  • 去年,USB 病毒的主要目的是竊取線上遊戲的帳號和密碼,針對其目的而言,如果使用者本身沒有玩線上遊戲,這些病毒並不會帶來多大的損失,頂多只是看不到系統的隱藏檔,系統效能被拖慢一些。
  • 但在病毒持續變種之下,除了竊取帳號密碼,還會破壞網路裝置(網路中斷)無法進入安全模式停用防毒軟體無法執行某些程式…。當到這個階段,使用者才會感到麻煩大了。

在病毒感染的初期,使用者大多不知情,因為他們只是插入 USB 隨身碟存取資料。防毒軟體更新後,順利的偵測出病毒,一切又恢復正常。可惜好景不常,病毒作者一直改寫新的病毒,演化出破壞力更強大的病毒。加上它變種的速度比病毒碼更新的速度更快。當你更新完防毒軟體,可以偵測到病毒時,又有新的變種出現。

我們整理一下,當電腦遭受 USB 病毒感染後,可能會出現以下症狀:

  • 網路裝置元件故障:導致無法上網及更新病毒特徵碼
  • 破壞作業系統:導致程式執行發生錯誤、系統當機(BSOD)、系統日期錯誤
  • 破壞防毒軟體:導致防毒軟體無法運作,或部份元件無法執行
  • 解毒後可能無法直接開啟磁碟機,系統會詢問要以何種應用程式來開啟。或是出現程式執行錯誤的提示訊息。

如果發現電腦有上述症狀,建議立即中斷網路連線(拔除網路線),在確認安全之前,絕對不要使用此電腦登入帳號及密碼,以免被竊取。並且在解毒之後,立即變更密碼。

預設下,當電腦偵測到 USB 裝置時,Windows 系統會自動尋找並執行 autorun.inf,進而執行其他應用程式。而病毒也就是利用這個特性來感染。從 2006 年開始,USB 病毒的原型就已經現身,它使用的技術簡單、破壞力也不大,並沒有引起太大的討論。

二年時間過去,它已經不再只是使用單一技術與手法,而是混合多種技術來保護自己不被發現和清除,例如看門狗、自動隱藏、自動更新、社交工程…等。而感染管道也不僅只是 USB 裝置,它可以透過多種管道來危害你得電腦安全,例如網路磁碟、電子郵件附件檔或檔案。

為了讓使用者更了解 USB 病毒的感染和擴散方式,以下是我們針對 USB 病毒(Trojan-GameThief.Win32.OnLineGames.saro、Trojan-GameThief.Win32.Magania.ypk、Trojan-GameThief.Win32.OnLineGames.arvf)進行的分析:


第1階段:木馬程式開始執行

  1. 在 tmep 資料夾產生 DLL 格式的木馬程式。
  2. 替換系統驅動程式檔案 vga.sys,造成防毒軟體元件損毀,無法進入安全模式。
  3. 產生隱藏屬性的檔案,例如:
    • windir\system32\kxvo.exe
    • windir\system32\kxvoX.dll(X為累加數)
  4. kxvoX.dll 插入 explorer.exe 執行程序,並持續惡意行為。


第2階段:IExplorer.exe自動下載惡意軟體

  1. IExplorer.exe 自動下載木馬程式 ff.exe 至 temp 下,此惡意軟體經常變種,名稱為 Trojan-GameThief.Win32.OnLineGames.xxxx。
  2. IExplorer.exe 會持續在 temp 路徑刪除與建立 ff.exe。


第3階段:ff.exe 自動執行

  1. ff.exe 執行後會破壞防毒軟體,或造成某些元件無法運作。
  2. 替換系統驅動程式檔案 tdi.sys。遭替換的 tdi.sys 檔案會造成網路裝置無法使用,在撥接上網時出現錯誤代碼769。
  3. 產生隱藏屬性的檔案,例如:
    • windir\system32\j3ewro.exe(Trojan.Win32.Vaklik.xxx)
    • windir\system32\jwedsfdo0.dll(Trojan-GameThief.win32.OnLineGames.xxxx)
  4. 新增登錄檔,以便在登入系統後自動執行惡意軟體。
  5. 當 jwedsfdo0.dll 插入 explorer.exe 執行程序後,由 jwedsfdo0.dll 持續惡意行為,ff.exe 即停止運作。

第4階段:IExplorer.exe自動下載惡意軟體
  1. IExplorer.exe 自動下載木馬程式 cc.exe 至 temp 路徑,此惡意軟體經常變種,名稱為 Trojan-GameThief.Win32.OnLineGames.xxxx。
  2. IExplorer.exe 會持續在 temp 路徑刪除與建立 cc.exe。

第5階段:惡意軟體藉由 explorer.exe 執行程序進行惡意攻擊
  1. 刪除 temp 路徑下 ff.exe 惡意軟體。
  2. 持續修改登錄檔,藉以隱藏惡意檔案。
  3. 新增登錄檔:當使用者透過「我的電腦」開啟任何磁碟區(包含隨身儲存裝置)時,就會觸發惡意軟體執行。
  4. 持續在磁碟根目錄刪除與建立 autorun.inf 及 39ysi89.com。

第6階段:cc.exe自動執行
  1. 如同 ff.exe,cc.exe 會下載 tdi.sys 並置換。
  2. 產生隱藏屬性的檔案,例如:
    • windir\system32\kxvo.exe(Trojan-GameThief.win32.Magania.xxx)
    • windir\system32\kxvoX.dll(Trojan-GameThief.win32.Magania.xxx)
  3. 新增登錄檔,以便在登入系統後自動執行惡意軟體。
  4. 當 kxvoX.dll 插入 explorer.exe 執行程序後,由 kxvoX.dll 持續惡意行為,cc.exe 即停止運作。

第7階段:惡意軟體會在開機時自動啟動及更新
你也許會問,為什麼防毒軟體無法提供有效的防護呢?
  • 其實答案很簡單。防毒軟體屬於被動防護,必須要有病毒特徵碼,才能偵測與解毒。當病毒樣本未被分析之前,防毒軟體就無法偵測。
  • 由於病毒持續的變種(透過網路下載新的變種病毒),防毒軟體需要持續更新資料庫,才能偵測出最新的病毒。
  • 但是在樣本回報和病毒碼釋出前的空窗期,防毒軟體並無法偵測新的變種。加上它能中斷網路(無法更新)和破壞防毒軟體(無法掃毒)。


Powered by LifeType
© 2006 - Design by Omar Romero (all rights reserved)