病毒名稱(中文):
李鬼衛士
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬程序
病毒長度:
124928
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個用VB編寫的木馬程序變種。病毒僞裝成安全輔助軟件「360安全衛士」的相關文件,騙取用戶點擊。它成功運行後,會修改IE浏覽器的默認首頁、增加IE浏覽器擴展按鈕,還會將用戶的網卡物理地址、計算機名稱等信息發送至遠程服務器。
(1)運行後釋放文件
%sys32dir%\360Safe.exe
%sys32dir%\360Server.exe
%sys32dir%\AllRight.exe
%sys32dir%\MSINET.OCX(VB控件)
%sys32dir%\NTVBSvcW.tlb(類型庫文件)
%sys32dir%\SoftIcon.ico(圖標文件)
(2)運行後添加注冊表項
HKEY_CLASSES_ROOT\InetCtls.Inet
HKEY_CLASSES_ROOT\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\Interface\{48E59291-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\Interface\{48E59292-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Extensions\CmdMapping{b9fea863-f81c-1194-9dbd-212599424149}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InetCtls.Inet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{48E59291-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Extensions\{b9fea863-f81c-1194-9dbd-212599424149}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_360SAFE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360Safe
(3)運行後修改注冊表項
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MainStartPagewww.007788.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\MainStartPagewww.007788.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\MainDefault_Page_URLwww.007788.com
(4)病毒運行後嘗試修改IE浏覽器首頁,並嘗試彈出新IE窗口打開這個網址
(5)病毒嘗試爲IE浏覽器增加一個擴展功能按鈕:訪問007788
(6)病毒嘗試增加一個系統服務,描述如下:
服務名:360safe
顯示名稱:360SafeServer
描述:360SafeServer
映像路徑:%sys32dir%\360Server.exe
啓動類型:自動
(7)病毒運行後以下兩個進程會被創建並運行:
360Safe.exe
360Server.exe
其中360Safe.exe進程在後台監控並還原首頁地址
(8)病毒文件僞裝成360安全衛士,誘惑用戶點擊,文件屬性信息如下:
文件版本:1.0.0.0
産品版本:1.00
産品名稱:360Safe
公司名稱:奇虎網
內部名稱:4
語言:中文(中國)
源文件名:4.exe
(9)病毒嘗試統計中毒者機器信息,如網卡物理地址、計算機名等,然後發送至遠程服務器
hxxp://www.0**7*8.com/tongji.php?mac=000000000000COMPUTERNAME&p=AE8795FFF80D&id=3