分享
 
 
 

Win32.Troj.PcGhost.g

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名稱(中文):

電腦幽靈

病毒別名:

威脅級別:

★★☆☆☆

病毒類型:

木馬程序

病毒長度:

107691

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行為:

這是"電腦幽靈"的一個新變種,它能下載並安裝廣告程序,

並能通過驅動級的HOOK隱藏自己,使用戶難以發現.

1:釋放文件:

病毒體運行後,會釋放這兩個文件

C:\\ProgramFiles\\CommonFiles\\xp4update.exe

%temp%\\QQAdHelper1.exe

釋放出來的文件還會釋放其它的病毒體:

xp4update.exe->

C:\\ProgramFiles\\CommonFiles\\xpsp4res.dll(Win32.Troj.PcGhost.g.57344)

C:\\ProgramFiles\\CommonFiles\\xpsp4tdi.sys(Win32.Troj.PcGhost.c.5248)

C:\\ProgramFiles\\CommonFiles\\xpsp4reg.sys(Win32.Troj.PcGhost.g.6784)

並創建一個快捷方式

C:\\DocumentsandSettings\\AllUsers\\開始菜單\\程序\\啟動\\WindowsUpdateSP4.lnk

指向C:\ProgramFiles\CommonFiles\xp4update.exe,使病毒能隨Windows啟動.

QQAdHelper1.exe->

%windows%\\comreg.dll(Win32.Troj.PcGhost.f.57344)

%CurDirector%\\Inject.exe(Win32.Troj.PcGhost.g.4608)

2:改寫SSDT表

病毒通過驅動改寫SSDT表(系統服務描述表),使下面4個函數指向xpsp4reg.sys,實現Ring0級的hook

NtCreateKey

NtOpenKey

NtQueryDirectoryFile

NtSetValueKey

該HOOK會檢測運行這4個函數時的所有參數,並作出相應的返回結果.

檢查以下3個函數

NtSetValueKey

NtCreateKey

NtSetValueKey

附帶的參數是否包含以下字符

isdrv

filemon

darkspy

361anreg

superkill

currentcontrolset\\control\\safeboot

若有的話則返回失敗,系統表現無法運行一些安全軟件(如icesword,filemon,darkspy等)

NtQueryDirectoryFile

檢查附帶參數是否包含以下字符

XP4UPDATE.EXE

XPSP4RES.DLL

WINDOWSUPDATESP4.LNK

GOOGLESVC.EXE

有則返回失敗,系統表現是這些文件名的文件無法被看到.

3:保護文件

病毒文件xpsp4tdi.sys負責保護以下設備不受破壞

\Device\xpsp4tdi

\DosDevices\xpsp4tdi

4:註入IE下載廣告

病毒會建一個IE進程,並使用Rootkit隱藏該進程,然後把

C:\\ProgramFiles\\CommonFiles\\xpsp4res.dll註入到此IE進程中運行,

並讀取網址http://*****.**.net.cn/**/ini/rules.ini的配置信息,如下:

------------------------------------------

[Version]

Item0=20070406

Item1=20070414

Item2=20070412

[File]

Item0=http://p.*******.net/sj/msnbot.exe

Item1=http://p.*******.net/sj/30000.exe

Item2=http://p.*******.net/sj/boolan35.exe

[Size]

Item0=107522

Item1=109186

Item2=399080

下載安裝並安裝上面的Item程序,30000.exe是病毒體的更新,另外兩個是廣告安裝程序,

並把安裝的結果通過post的方式發送到http://c.*******.net上,

使得用戶的計算機不斷地被安裝上廣告程序.

 
 
 
免責聲明:本文為網絡用戶發布,其觀點僅代表作者個人觀點,與本站無關,本站僅提供信息存儲服務。文中陳述內容未經本站證實,其真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,並請自行核實相關內容。
2023年上半年GDP全球前十五強
 百态   2023-10-24
美眾議院議長啟動對拜登的彈劾調查
 百态   2023-09-13
上海、濟南、武漢等多地出現不明墜落物
 探索   2023-09-06
印度或要將國名改為「巴拉特」
 百态   2023-09-06
男子為女友送行,買票不登機被捕
 百态   2023-08-20
手機地震預警功能怎麽開?
 干货   2023-08-06
女子4年賣2套房花700多萬做美容:不但沒變美臉,面部還出現變形
 百态   2023-08-04
住戶一樓被水淹 還衝來8頭豬
 百态   2023-07-31
女子體內爬出大量瓜子狀活蟲
 百态   2023-07-25
地球連續35年收到神秘規律性信號,網友:不要回答!
 探索   2023-07-21
全球鎵價格本周大漲27%
 探索   2023-07-09
錢都流向了那些不缺錢的人,苦都留給了能吃苦的人
 探索   2023-07-02
倩女手遊刀客魅者強控制(強混亂強眩暈強睡眠)和對應控制抗性的關系
 百态   2020-08-20
美國5月9日最新疫情:美國確診人數突破131萬
 百态   2020-05-09
荷蘭政府宣布將集體辭職
 干货   2020-04-30
倩女幽魂手遊師徒任務情義春秋猜成語答案逍遙觀:鵬程萬裏
 干货   2019-11-12
倩女幽魂手遊師徒任務情義春秋猜成語答案神機營:射石飲羽
 干货   2019-11-12
倩女幽魂手遊師徒任務情義春秋猜成語答案昆侖山:拔刀相助
 干货   2019-11-12
倩女幽魂手遊師徒任務情義春秋猜成語答案天工閣:鬼斧神工
 干货   2019-11-12
倩女幽魂手遊師徒任務情義春秋猜成語答案絲路古道:單槍匹馬
 干货   2019-11-12
倩女幽魂手遊師徒任務情義春秋猜成語答案鎮郊荒野:與虎謀皮
 干货   2019-11-12
倩女幽魂手遊師徒任務情義春秋猜成語答案鎮郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手遊師徒任務情義春秋猜成語答案鎮郊荒野:指鹿為馬
 干货   2019-11-12
倩女幽魂手遊師徒任務情義春秋猜成語答案金陵:小鳥依人
 干货   2019-11-12
倩女幽魂手遊師徒任務情義春秋猜成語答案金陵:千金買鄰
 干货   2019-11-12
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有