病毒名称(中文):
电脑幽灵
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
107691
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是"电脑幽灵"的一个新变种,它能下载并安装广告程序,
并能通过驱动级的HOOK隐藏自己,使用户难以发现.
1:释放文件:
病毒体运行后,会释放这两个文件
C:\\ProgramFiles\\CommonFiles\\xp4update.exe
%temp%\\QQAdHelper1.exe
释放出来的文件还会释放其它的病毒体:
xp4update.exe->
C:\\ProgramFiles\\CommonFiles\\xpsp4res.dll(Win32.Troj.PcGhost.g.57344)
C:\\ProgramFiles\\CommonFiles\\xpsp4tdi.sys(Win32.Troj.PcGhost.c.5248)
C:\\ProgramFiles\\CommonFiles\\xpsp4reg.sys(Win32.Troj.PcGhost.g.6784)
并创建一个快捷方式
C:\\DocumentsandSettings\\AllUsers\\开始菜单\\程序\\启动\\WindowsUpdateSP4.lnk
指向C:\ProgramFiles\CommonFiles\xp4update.exe,使病毒能随Windows启动.
QQAdHelper1.exe->
%windows%\\comreg.dll(Win32.Troj.PcGhost.f.57344)
%CurDirector%\\Inject.exe(Win32.Troj.PcGhost.g.4608)
2:改写SSDT表
病毒通过驱动改写SSDT表(系统服务描述表),使下面4个函数指向xpsp4reg.sys,实现Ring0级的hook
NtCreateKey
NtOpenKey
NtQueryDirectoryFile
NtSetValueKey
该HOOK会检测运行这4个函数时的所有参数,并作出相应的返回结果.
检查以下3个函数
NtSetValueKey
NtCreateKey
NtSetValueKey
附带的参数是否包含以下字符
isdrv
filemon
darkspy
361anreg
superkill
currentcontrolset\\control\\safeboot
若有的话则返回失败,系统表现无法运行一些安全软件(如icesword,filemon,darkspy等)
NtQueryDirectoryFile
检查附带参数是否包含以下字符
XP4UPDATE.EXE
XPSP4RES.DLL
WINDOWSUPDATESP4.LNK
GOOGLESVC.EXE
有则返回失败,系统表现是这些文件名的文件无法被看到.
3:保护文件
病毒文件xpsp4tdi.sys负责保护以下设备不受破坏
\Device\xpsp4tdi
\DosDevices\xpsp4tdi
4:注入IE下载广告
病毒会建一个IE进程,并使用Rootkit隐藏该进程,然后把
C:\\ProgramFiles\\CommonFiles\\xpsp4res.dll注入到此IE进程中运行,
并读取网址http://*****.**.net.cn/**/ini/rules.ini的配置信息,如下:
------------------------------------------
[Version]
Item0=20070406
Item1=20070414
Item2=20070412
[File]
Item0=http://p.*******.net/sj/msnbot.exe
Item1=http://p.*******.net/sj/30000.exe
Item2=http://p.*******.net/sj/boolan35.exe
[Size]
Item0=107522
Item1=109186
Item2=399080
下载安装并安装上面的Item程序,30000.exe是病毒体的更新,另外两个是广告安装程序,
并把安装的结果通过post的方式发送到http://c.*******.net上,
使得用户的计算机不断地被安装上广告程序.
