| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.PcGhost.g

2008-08-14 22:52:22  編輯來源:互聯網  简体版  手機版  評論  字體: ||
 
  病毒名稱(中文):

  電腦幽靈

  病毒別名:

  

  

  威脅級別:

  ★★☆☆☆

  病毒類型:

  木馬程序

  病毒長度:

  107691

  影響系統:

  Win9xWinMeWinNTWin2000WinXPWin2003

  

  病毒行爲:

  這是"電腦幽靈"的一個新變種,它能下載並安裝廣告程序,

  並能通過驅動級的HOOK隱藏自己,使用戶難以發現.

  1:釋放文件:

  病毒體運行後,會釋放這兩個文件

  C:\\ProgramFiles\\CommonFiles\\xp4update.exe

  %temp%\\QQAdHelper1.exe

  釋放出來的文件還會釋放其它的病毒體:

  xp4update.exe->

  C:\\ProgramFiles\\CommonFiles\\xpsp4res.dll(Win32.Troj.PcGhost.g.57344)

  C:\\ProgramFiles\\CommonFiles\\xpsp4tdi.sys(Win32.Troj.PcGhost.c.5248)

  C:\\ProgramFiles\\CommonFiles\\xpsp4reg.sys(Win32.Troj.PcGhost.g.6784)

  並創建一個快捷方式

  C:\\DocumentsandSettings\\AllUsers\\開始菜單\\程序\\啓動\\WindowsUpdateSP4.lnk

  指向C:\ProgramFiles\CommonFiles\xp4update.exe,使病毒能隨Windows啓動.

  QQAdHelper1.exe->

  %windows%\\comreg.dll(Win32.Troj.PcGhost.f.57344)

  %CurDirector%\\Inject.exe(Win32.Troj.PcGhost.g.4608)

  2:改寫SSDT表

  病毒通過驅動改寫SSDT表(系統服務描述表),使下面4個函數指向xpsp4reg.sys,實現Ring0級的hook

  NtCreateKey

  NtOpenKey

  NtQueryDirectoryFile

  NtSetValueKey

  該HOOK會檢測運行這4個函數時的所有參數,並作出相應的返回結果.

  檢查以下3個函數

  NtSetValueKey

  NtCreateKey

  NtSetValueKey

  附帶的參數是否包含以下字符

  isdrv

  filemon

  darkspy

  361anreg

  superkill

  currentcontrolset\\control\\safeboot

  若有的話則返回失敗,系統表現無法運行一些安全軟件(如icesword,filemon,darkspy等)

  NtQueryDirectoryFile

  檢查附帶參數是否包含以下字符

  XP4UPDATE.EXE

  XPSP4RES.DLL

  WINDOWSUPDATESP4.LNK

  GOOGLESVC.EXE

  有則返回失敗,系統表現是這些文件名的文件無法被看到.

  3:保護文件

  病毒文件xpsp4tdi.sys負責保護以下設備不受破壞

  \Device\xpsp4tdi

  \DosDevices\xpsp4tdi

  4:注入IE下載廣告

  病毒會建一個IE進程,並使用Rootkit隱藏該進程,然後把

  C:\\ProgramFiles\\CommonFiles\\xpsp4res.dll注入到此IE進程中運行,

  並讀取網址http://*****.**.net.cn/**/ini/rules.ini的配置信息,如下:

  ------------------------------------------

  [Version]

  Item0=20070406

  Item1=20070414

  Item2=20070412

  [File]

  Item0=http://p.*******.net/sj/msnbot.exe

  Item1=http://p.*******.net/sj/30000.exe

  Item2=http://p.*******.net/sj/boolan35.exe

  [Size]

  Item0=107522

  Item1=109186

  Item2=399080

  下載安裝並安裝上面的Item程序,30000.exe是病毒體的更新,另外兩個是廣告安裝程序,

  並把安裝的結果通過post的方式發送到http://c.*******.net上,

  使得用戶的計算機不斷地被安裝上廣告程序.
 
病毒名稱(中文): 電腦幽靈 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 木馬程序 病毒長度: 107691 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是"電腦幽靈"的一個新變種,它能下載並安裝廣告程序, 並能通過驅動級的HOOK隱藏自己,使用戶難以發現. 1:釋放文件: 病毒體運行後,會釋放這兩個文件 C:\\ProgramFiles\\CommonFiles\\xp4update.exe %temp%\\QQAdHelper1.exe 釋放出來的文件還會釋放其它的病毒體: xp4update.exe-> C:\\ProgramFiles\\CommonFiles\\xpsp4res.dll(Win32.Troj.PcGhost.g.57344) C:\\ProgramFiles\\CommonFiles\\xpsp4tdi.sys(Win32.Troj.PcGhost.c.5248) C:\\ProgramFiles\\CommonFiles\\xpsp4reg.sys(Win32.Troj.PcGhost.g.6784) 並創建一個快捷方式 C:\\DocumentsandSettings\\AllUsers\\開始菜單\\程序\\啓動\\WindowsUpdateSP4.lnk 指向C:\ProgramFiles\CommonFiles\xp4update.exe,使病毒能隨Windows啓動. QQAdHelper1.exe-> %windows%\\comreg.dll(Win32.Troj.PcGhost.f.57344) %CurDirector%\\Inject.exe(Win32.Troj.PcGhost.g.4608) 2:改寫SSDT表 病毒通過驅動改寫SSDT表(系統服務描述表),使下面4個函數指向xpsp4reg.sys,實現Ring0級的hook NtCreateKey NtOpenKey NtQueryDirectoryFile NtSetValueKey 該HOOK會檢測運行這4個函數時的所有參數,並作出相應的返回結果. 檢查以下3個函數 NtSetValueKey NtCreateKey NtSetValueKey 附帶的參數是否包含以下字符 isdrv filemon darkspy 361anreg superkill currentcontrolset\\control\\safeboot 若有的話則返回失敗,系統表現無法運行一些安全軟件(如icesword,filemon,darkspy等) NtQueryDirectoryFile 檢查附帶參數是否包含以下字符 XP4UPDATE.EXE XPSP4RES.DLL WINDOWSUPDATESP4.LNK GOOGLESVC.EXE 有則返回失敗,系統表現是這些文件名的文件無法被看到. 3:保護文件 病毒文件xpsp4tdi.sys負責保護以下設備不受破壞 \Device\xpsp4tdi \DosDevices\xpsp4tdi 4:注入IE下載廣告 病毒會建一個IE進程,並使用Rootkit隱藏該進程,然後把 C:\\ProgramFiles\\CommonFiles\\xpsp4res.dll注入到此IE進程中運行, 並讀取網址http://*****.**.net.cn/**/ini/rules.ini的配置信息,如下: ------------------------------------------ [Version] Item0=20070406 Item1=20070414 Item2=20070412 [File] Item0=http://p.*******.net/sj/msnbot.exe Item1=http://p.*******.net/sj/30000.exe Item2=http://p.*******.net/sj/boolan35.exe [Size] Item0=107522 Item1=109186 Item2=399080 下載安裝並安裝上面的Item程序,30000.exe是病毒體的更新,另外兩個是廣告安裝程序, 並把安裝的結果通過post的方式發送到http://c.*******.net上, 使得用戶的計算機不斷地被安裝上廣告程序.
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
  免責聲明:本文僅代表作者個人觀點,與王朝網絡無關。王朝網絡登載此文出於傳遞更多信息之目的,並不意味著贊同其觀點或證實其描述,其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,並請自行核實相關內容。
 
© 2005- 王朝網路 版權所有