這是一個(gè)具有多種傳播功能和反殺毒軟件功能的下載者病毒,傳播方式新穎獨(dú)特�����,需要嚴(yán)密防范�����!
下面是該病毒的詳細(xì)分析報(bào)告:
病毒初始化過(guò)程:
1.創(chuàng)建一個(gè)互斥量:中華吸血鬼2.2
2.刪除SOFTWARE\Microsoft\Active Setup\Installed
Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
3.釋放如下副本或文件:
%systemroot%\Tasks\綠化.bat
%systemroot%\Tasks\csrss.exe
%systemroot%\Tasks\wsock32.dll
4.之后創(chuàng)建很多線程���,執(zhí)行多種病毒功能:
(1)通過(guò)GetWindowTextA函數(shù)獲得窗口標(biāo)題�,并比較是否含有如下字樣
worm
卡巴斯基
江民
金山
Anti
anti
Virus
virus
Firewall
Mcafee
查殺
主動(dòng)防御
微點(diǎn)
系統(tǒng)保護(hù)
主 動(dòng)
主動(dòng)
殺馬
木馬
上報(bào)
舉 報(bào)
舉報(bào)
進(jìn) 程
進(jìn)程
系統(tǒng)安全
Process
NOD32
專(zhuān) 殺
專(zhuān) 殺
專(zhuān)殺
安全衛(wèi)士
綠鷹
...
如果含有則使用PostMessage函數(shù)會(huì)發(fā)送消息給他們:
首先發(fā)送一個(gè)WM_Destroy,之后發(fā)送兩個(gè)WM_Close 最后發(fā)一個(gè)WM_Destroy 的消息��。并把窗口標(biāo)題名保存下來(lái)����。
之后會(huì)調(diào)用Messageboxa函數(shù)彈出一個(gè)標(biāo)題為"Windows盜版驗(yàn)證為"的窗口
并顯示如下字樣“安全提示:您正在使用的(剛剛獲得的窗口標(biāo)題名稱(chēng))是盜版軟件,可能您是盜版軟件的受害者�,為了給合法用戶提供保證,我們無(wú)法繼續(xù)給您提供服務(wù)��,請(qǐng)到指定銷(xiāo)售商購(gòu)買(mǎi)我們的正版軟件,如果有任何疑問(wèn),請(qǐng)到我們微軟主頁(yè)查看http://www.microsoft.com”
(2) 破壞冰刃
查找類(lèi)名為Afxcontrolbar423s的窗口
然后發(fā)送WM_Close關(guān)閉 再模擬鍵盤(pán)輸入按一下回車(chē)鍵
(3) U盤(pán)傳播功能
檢測(cè)可移動(dòng)存儲(chǔ)中是否有autorun.inf文件���,如果有將其改名
之后向里面寫(xiě)入autorun.inf
創(chuàng)建recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夾��,在該文件夾內(nèi)寫(xiě)入GHOSTBAK.exe(病毒文件)
(4) 病毒感染統(tǒng)計(jì)
搜集被感染主機(jī)的mac地址�����,并把被感染主機(jī)的mac地址和感染的病毒版本發(fā)送給http://www.*******.cn/tj/ct.asp頁(yè)面
(5) 修改hosts文件
獲得%programfiles%的環(huán)境變量����,接著查找[url=file://drivers/etc//hosts]\\drivers\etc\\hosts[/url]文件
寫(xiě)入如下數(shù)據(jù):
127.0.0.0 360.qihoo.com
127.0.0.1 qihoo.com
127.0.0.1www.qihoo.com
127.0.0.1www.qihoo.cn
127.0.0.1 124.40.51.17
127.0.0.1 58.17.236.92
127.0.0.1www.kaspersky.com
127.0.0.1 60.210.176.251
127.0.0.1www.cnnod32.cn
127.0.0.1www.lanniao.org
127.0.0.1www.nod32club.com
127.0.0.1www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1www.jiangmin.com
127.0.0.1www.duba.net
127.0.0.1www.eset.com.cn
127.0.0.1www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1www.#
127.0.0.1www.360safe.cn
127.0.0.1www.360safe.com
127.0.0.1www.chinakv.com
127.0.0.1www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
每1秒循環(huán)一次
(6) 遍歷進(jìn)程��,調(diào)用Terminate Process函數(shù)結(jié)束如下進(jìn)程:
AST.exe
360tray.exe
ast.exe
FWMon.exe
(7) 遍歷磁盤(pán)文件刪除擴(kuò)展名為gho,GHO,Gho的文件
(8) arp欺騙功能
獲取本機(jī)IP地址 然后把所在同網(wǎng)段內(nèi)的.2~.255的機(jī)器作為欺騙對(duì)象
由系統(tǒng)目錄下的arps.com執(zhí)行%s -idx 0 -ip %s -port 80 -insert \"%s的命令 對(duì)局域網(wǎng)內(nèi)機(jī)器進(jìn)行arp欺騙
(9) 局域網(wǎng)弱密碼猜解傳播
以administrator為用戶名,對(duì)局域網(wǎng)中其他機(jī)器進(jìn)行密碼猜解����。如果成功則復(fù)制到對(duì)方機(jī)器的共享的C,D,E,F盤(pán)中,以hackshen.exe
病毒猜解的密碼字典如下:
woaini
baby
asdf
NULL
angel
asdfgh
1314520
5201314
caonima
88888
bbbbbb
12345678
memory
abc123
qwerty
123456
password
enter
hack
xpuser
money
yeah
time
game
user
home
alex
guest
admin
test
administrator
movie
root
love
(10)
刪除HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings鍵
釋放一個(gè)hackchen.vbs到%systemroot%\Tasks
hackchen.vbs內(nèi)容:
On Error Resume Next
Set rs=createObject("Wscript.shell")
rs.run "%windir%\Tasks\csrss.exe",0
并且注冊(cè)HKLM\SOFTWARE\Microsoft\Active Setup\Installed
Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
指向%systemroot%\Tasks\hackchen.vbs
(11) 病毒自動(dòng)更新功能��。
在系統(tǒng)目錄下釋放meupdate.ini文件�,并且和http://www.*******.cn/22.txt做比較,如果不同則下載http://www.*******.cn/server.exe(最新版病毒程序)到c:\_default.pif����,并且每600ms執(zhí)行一次
(12)
通過(guò)查找%ProgramFiles%的環(huán)境變量獲得程序文件夾路徑,之后查找[url=file://winrar//Rar.exe]\\WinRAR\\Rar.exe[/url]獲得winrar安裝路徑��。
遍歷所有分區(qū)的.rar,.zip,.tgz,.cab,.tar文件 找到后
后臺(tái)調(diào)用winrar執(zhí)行"(winrar路徑)" -ep a "(找到的rar等文件路徑)" %systemroot%\Tasks\綠化.bat 命令
將綠化.bat壓縮進(jìn)壓縮包�����,綠化.bat即為病毒本身���,誘使用戶點(diǎn)擊中毒。
(13)(此方法十分新穎)
遍歷所有文件夾并且將%systemroot%\Tasks\wsock32.dll 復(fù)制到每個(gè)文件夾下
當(dāng)該文件夾下的exe文件的導(dǎo)入表含有wsock32.dll的時(shí)候��,會(huì)首先調(diào)用同文件夾下的wsock32.dll����,也就是病毒釋放的文件�。此時(shí)會(huì)從下載http://www.*******.cn/server.exe(病毒最新版本)并執(zhí)行?���。?��!
(14)
查找某些類(lèi)名為#32770的窗口����,并且試圖發(fā)送"我做了快一個(gè)月了,每天2個(gè)小時(shí)有40-50元的收入,你也來(lái)看看吧,長(zhǎng)期大量招聘網(wǎng)絡(luò)兼職http://www.*******.cn/jianzhi.htm"的消息給對(duì)方(應(yīng)該是通過(guò)QQ之類(lèi)的聊天工具傳播)
(15) 遍歷非系統(tǒng)分區(qū)的html,aspx��,htm等文件 寫(xiě)入iframe代碼
(16)下載木馬功能
下載 http://www.*******.cn/ft/qq.exe http://www.*******.cn/cj/qq.exe 并執(zhí)行
清除方法不作贅述�����,安全模式下清理所有文件夾下的wsock32.dll�����, 并利用工具清理
%systemroot%\Tasks\綠化.bat
%systemroot%\Tasks\csrss.exe
并打開(kāi)所有壓縮包文件 刪除里面的綠化.bat����。 最后使用殺毒軟件全盤(pán)殺毒
這也是一個(gè)浩大的工程吧~~
綜觀此病毒有很多新穎之處��,首先是在關(guān)閉殺軟之后彈出窗口�,容易給不知情者以迷惑�����;其次病毒釋放的wsock32.dll會(huì)使得任意該目錄下的exe文件成為下載病毒文件的傀儡�����;再次由于windows的某些保護(hù)��,tasks目錄下的文件無(wú)法直接看到�����,這又給病毒了一個(gè)絕佳的藏身之地�����;最后���,病毒還會(huì)將自己壓縮到壓縮包中,起一個(gè)誘惑的名字誘使用戶再次中毒��。
最近惡性病毒以及木馬群肆虐,但此類(lèi)行為特征新穎的病毒也有所猖獗��,望大家做好防范����!
