病毒名称(中文):
电脑幽灵
病毒别名:
威胁级别:
★★★☆☆
病毒类型:
木马程序
病毒长度:
90112
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个能删除系统安全模式的恶意病毒,它还能通过驱动程序的HOOK隐藏自己,并下载
广告和病毒程序,使用户的计算机受到更多广告程序的干扰.
1:拷贝与释放文件
病毒能把自己拷贝到这里:
%ProgramFiles%\CommonFiles\23OSA.EXE
并释放3个文件
%ProgramFiles%\CommonFiles\23OFFICE.dll(Win32.Troj.PcGhost.a.40960)
%ProgramFiles%\CommonFiles\23MsOffTDI.sys(Win32.Troj.PcGhost.a.5120)
%ProgramFiles%\CommonFiles\23AnRegProt.sys(Win32.Troj.PcGhost.a.6016)
之后添加一个快捷方式
C:\DocumentsandSettings\AllUsers\开始菜单\程序\启动\MicrosoftOffice23.lnk
该LNK指向%ProgramFiles%\CommonFiles\23OSA.EXE,使病毒能随Windows启动.
2:驱动级和用户级的Rootkit
病毒会同时使用驱动级(Ring0)与用户级(Ring3)的Rootkit技术隐藏自己的信息,包括程序文件,
进程等,使用户无法察觉病毒的存在.
23AnRegProt.sys(Win32.Troj.PcGhost.a.6016)
这个驱动文件负责进行函数欺骗的,使特定的文件不显示:
该驱动HOOK了这几个函数:
ZwOpenKey
ZwSetValueKey
ZwCreateKey
ZwQueryDirectoryFile
一但以上函数返回值有以下字符时,就返回失败,使系统误以为不存在这些文件
230SA.EXE
23OFFICE.DLL
MICROSOFTOFFICE23.LNK
这样使得在注册表,文件治理器等工具都无法发现病毒文件.
23MsOffTDI.sys(Win32.Troj.PcGhost.a.5120)
这个文件负责锁定23AnRegProt.sys与自己,防止被用户或其它软件删除.
3:破坏安全模式
病毒会把安全模式的注册表键值删除,键值如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SafeBoot
病毒把该键值下面全部项都删除,使用户无法进入安全模式,若用户强行进入安全模式的话
会导致系统蓝屏崩溃.
4:干扰IceSword运行
病毒会阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod
无法启动.
5:下载广告
病毒会开启一个IE进程(进程使用Rootkit技术隐藏),并读取一网址上的内容,
该网址为http://t1.*******.net/jw/ini/rules.ini
里面的内容为:
----------------------------------------------
[Version]
Item0=20061201
Item1=20061202
Item2=20061201
[File]
Item0=http://61.182.**.**/xzq/30009.exe
Item1=http://61.182.**.**/new/Setup.exe
Item2=http://61.182.**.**/new/setie.exe
[Size]
Item0=62243
Item1=263531
Item2=227446
-------------------------------------------------
并下载里面的文件到C:\DocumentsandSettings\AllUsers\ApplicationData\ADSL
之后运行这些文件,其中30009.exe是病毒文件,病毒名为Win32.Troj.Dropper.rk.62243
此病毒文件能重新释放Win32.Troj.PcGhost.a病毒,据INI文件分析,该病毒还可能出现新的变种,
病毒作者很有可能会在近期放出不同的变种.
而Setup.exe与setie.exe则是广告程序,它使用户的计算机受到广告程序的干扰,严重影响了
用户的工作.