| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.PcGhost.g

2008-08-14 22:52:22  編輯來源:互聯網  简体版  手機版  評論  字體: ||
 
  病毒名称(中文):

  电脑幽灵

  病毒别名:

  

  

  威胁级别:

  ★★☆☆☆

  病毒类型:

  木马程序

  病毒长度:

  107691

  影响系统:

  Win9xWinMeWinNTWin2000WinXPWin2003

  

  病毒行为:

  这是"电脑幽灵"的一个新变种,它能下载并安装广告程序,

  并能通过驱动级的HOOK隐藏自己,使用户难以发现.

  1:释放文件:

  病毒体运行后,会释放这两个文件

  C:\\ProgramFiles\\CommonFiles\\xp4update.exe

  %temp%\\QQAdHelper1.exe

  释放出来的文件还会释放其它的病毒体:

  xp4update.exe->

  C:\\ProgramFiles\\CommonFiles\\xpsp4res.dll(Win32.Troj.PcGhost.g.57344)

  C:\\ProgramFiles\\CommonFiles\\xpsp4tdi.sys(Win32.Troj.PcGhost.c.5248)

  C:\\ProgramFiles\\CommonFiles\\xpsp4reg.sys(Win32.Troj.PcGhost.g.6784)

  并创建一个快捷方式

  C:\\DocumentsandSettings\\AllUsers\\开始菜单\\程序\\启动\\WindowsUpdateSP4.lnk

  指向C:\ProgramFiles\CommonFiles\xp4update.exe,使病毒能随Windows启动.

  QQAdHelper1.exe->

  %windows%\\comreg.dll(Win32.Troj.PcGhost.f.57344)

  %CurDirector%\\Inject.exe(Win32.Troj.PcGhost.g.4608)

  2:改写SSDT表

  病毒通过驱动改写SSDT表(系统服务描述表),使下面4个函数指向xpsp4reg.sys,实现Ring0级的hook

  NtCreateKey

  NtOpenKey

  NtQueryDirectoryFile

  NtSetValueKey

  该HOOK会检测运行这4个函数时的所有参数,并作出相应的返回结果.

  检查以下3个函数

  NtSetValueKey

  NtCreateKey

  NtSetValueKey

  附带的参数是否包含以下字符

  isdrv

  filemon

  darkspy

  361anreg

  superkill

  currentcontrolset\\control\\safeboot

  若有的话则返回失败,系统表现无法运行一些安全软件(如icesword,filemon,darkspy等)

  NtQueryDirectoryFile

  检查附带参数是否包含以下字符

  XP4UPDATE.EXE

  XPSP4RES.DLL

  WINDOWSUPDATESP4.LNK

  GOOGLESVC.EXE

  有则返回失败,系统表现是这些文件名的文件无法被看到.

  3:保护文件

  病毒文件xpsp4tdi.sys负责保护以下设备不受破坏

  \Device\xpsp4tdi

  \DosDevices\xpsp4tdi

  4:注入IE下载广告

  病毒会建一个IE进程,并使用Rootkit隐藏该进程,然后把

  C:\\ProgramFiles\\CommonFiles\\xpsp4res.dll注入到此IE进程中运行,

  并读取网址http://*****.**.net.cn/**/ini/rules.ini的配置信息,如下:

  ------------------------------------------

  [Version]

  Item0=20070406

  Item1=20070414

  Item2=20070412

  [File]

  Item0=http://p.*******.net/sj/msnbot.exe

  Item1=http://p.*******.net/sj/30000.exe

  Item2=http://p.*******.net/sj/boolan35.exe

  [Size]

  Item0=107522

  Item1=109186

  Item2=399080

  下载安装并安装上面的Item程序,30000.exe是病毒体的更新,另外两个是广告安装程序,

  并把安装的结果通过post的方式发送到http://c.*******.net上,

  使得用户的计算机不断地被安装上广告程序.
 
 
 
病毒名称(中文): 电脑幽灵 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 木马程序 病毒长度: 107691 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是"电脑幽灵"的一个新变种,它能下载并安装广告程序, 并能通过驱动级的HOOK隐藏自己,使用户难以发现. 1:释放文件: 病毒体运行后,会释放这两个文件 C:\\ProgramFiles\\CommonFiles\\xp4update.exe %temp%\\QQAdHelper1.exe 释放出来的文件还会释放其它的病毒体: xp4update.exe-> C:\\ProgramFiles\\CommonFiles\\xpsp4res.dll(Win32.Troj.PcGhost.g.57344) C:\\ProgramFiles\\CommonFiles\\xpsp4tdi.sys(Win32.Troj.PcGhost.c.5248) C:\\ProgramFiles\\CommonFiles\\xpsp4reg.sys(Win32.Troj.PcGhost.g.6784) 并创建一个快捷方式 C:\\DocumentsandSettings\\AllUsers\\开始菜单\\程序\\启动\\WindowsUpdateSP4.lnk 指向C:\ProgramFiles\CommonFiles\xp4update.exe,使病毒能随Windows启动. QQAdHelper1.exe-> %windows%\\comreg.dll(Win32.Troj.PcGhost.f.57344) %CurDirector%\\Inject.exe(Win32.Troj.PcGhost.g.4608) 2:改写SSDT表 病毒通过驱动改写SSDT表(系统服务描述表),使下面4个函数指向xpsp4reg.sys,实现Ring0级的hook NtCreateKey NtOpenKey NtQueryDirectoryFile NtSetValueKey 该HOOK会检测运行这4个函数时的所有参数,并作出相应的返回结果. 检查以下3个函数 NtSetValueKey NtCreateKey NtSetValueKey 附带的参数是否包含以下字符 isdrv filemon darkspy 361anreg superkill currentcontrolset\\control\\safeboot 若有的话则返回失败,系统表现无法运行一些安全软件(如icesword,filemon,darkspy等) NtQueryDirectoryFile 检查附带参数是否包含以下字符 XP4UPDATE.EXE XPSP4RES.DLL WINDOWSUPDATESP4.LNK GOOGLESVC.EXE 有则返回失败,系统表现是这些文件名的文件无法被看到. 3:保护文件 病毒文件xpsp4tdi.sys负责保护以下设备不受破坏 \Device\xpsp4tdi \DosDevices\xpsp4tdi 4:注入IE下载广告 病毒会建一个IE进程,并使用Rootkit隐藏该进程,然后把 C:\\ProgramFiles\\CommonFiles\\xpsp4res.dll注入到此IE进程中运行, 并读取网址http://*****.**.net.cn/**/ini/rules.ini的配置信息,如下: ------------------------------------------ [Version] Item0=20070406 Item1=20070414 Item2=20070412 [File] Item0=http://p.*******.net/sj/msnbot.exe Item1=http://p.*******.net/sj/30000.exe Item2=http://p.*******.net/sj/boolan35.exe [Size] Item0=107522 Item1=109186 Item2=399080 下载安装并安装上面的Item程序,30000.exe是病毒体的更新,另外两个是广告安装程序, 并把安装的结果通过post的方式发送到http://c.*******.net上, 使得用户的计算机不断地被安装上广告程序.
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
王朝网络微信公众号
微信扫码关注本站公众号 wangchaonetcn
 
  免责声明:本文仅代表作者个人观点,与王朝网络无关。王朝网络登载此文出于传递更多信息之目的,并不意味著赞同其观点或证实其描述,其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝網路 版權所有