Win32.Troj.FakePhoto - 王朝网络宽屏版

病毒名称(中文):

图片黑手

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

624640

影响系统:

Win9xWinNT

病毒行为:

该病毒显示为一个图片文件的图标，迷惑用户去打开，然后病毒显示出一副图片，病毒就静静地在后台运行了。该病毒首先会搜索内存中的反病毒软件，如金山网镖、天网防火墙、木马克星、瑞星等，一旦找到就将其关闭，并且删除该进程的所在目录下的所有子目录以及文件；病毒将自己复制到系统多个目录下面，并修改可执行程序关联到病毒，使得用户一运行正常程序都可能激活病毒；病毒将自己加载到注册表得启动项，并且修改注册表使得文件治理器不显示隐藏文件以及文件扩展名，使用户更难发觉病毒得存在；病毒修改注册表禁止用户打开任务治理器以及禁止编辑注册表。病毒到指定的网址下载文件并运行；将自己复制到搜索到的局域网可写目录，以感染更多用户；病毒还添加带密码的治理员帐号，为黑客大开方便之门；开启后门，等待外界攻击者连接，并执行其发来的控制指令，如注销，重启，关机，注销，上传下载文件，操作注册表，获取用户信息，窃取用户按键信息等。

1.枚举进程，尝试关闭以下反病毒软件的进程，然后删除该进程的所在目录下的所有子目录以及文件。

pfw.exe

kvfw.exe

KAVPFW.EXE

iamapp.exe

nmain.exe

freepp.EXE

freekav.EXE

freesys.EXE

Iparmor.exe

trojan_hunter.exe

Rfw.exe

rav

taskmgr.exe

2.搜索注册表，删除以下反病毒软件的启动项，删除对应文件。

HLM\SoftWare\Microsoft\windows\CurrentVersion\Run

"SKYNETPersonalFireWall"

"iDubaPersonalFireWall"

"iamapp"

"rfw"

"popproxy"

"RavMon"

"RavTimer"

HLM\SoftWare\Microsoft\windows\CurrentVersion\RunServices

"RavMon"

HCU\SoftWare\Microsoft\windows\CurrentVersion\Run

"KVFW"

3.创建目录%SystemRoot%\temp，将自身复制为：%SystemRoot%\temp\ssshost.exe并运行，ssshost.exe再将自身复制为%systemRoot%

\svchost.exe并运行。可能释放文件：%systemRoot%\svchost.dll，远程注入到系统进程Explorer.exe中。

4.创建互斥量byc001，防止病毒的多个实例运行。

5.修改注册表。

添加注册表主键和键值：

HKLM\SoftWare\MicroSoft\Windows\CurrentVersion\Run"Microsoft"="%SystemRoot%\SVCHOST.EXE"

HKLM\SOFTWARE\Classes\exefile\shell\open\command

"%SystemRoot%\SVCHOST.EXE"%1"%*"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN"CheckedValue"=dword:0x2

"DefaultValue"=dword:0x2

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableRegistryTools"=dword:0x1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableTaskMgr"=dword:0x1

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"HideFileExt"=dword:0x1

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"Hidden"=dword:0x2

HKEY_LOCAL_MACHINE\SOFTWARE\mysoft

"Version"=dword:3e9

6.到指定的网址下载文件到本地计算机%systemroot%\iexplorer.exe并运行。

7.将自身复制到局域网中可写目录，以感染更多计算机。

8.可能添加带密码的治理员帐号。

9.开启后门，等待外界攻击者连接，并执行其发来的控制指令，如注销，重启，关机，注销，上传下载文件，操作注册表，获取用户信息，窃取用户按键信息。