病毒名称(中文):
广告宣传单983040
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
983040
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马程序变种。病毒运行后会关闭瑞星、卡巴斯基、360安全卫士等安全软件的进程.另外,病毒尝试将自身写入IE保护工具白名单,并自动点击指定网站来增加访问,它还会进行利用QQ窗口传播病毒信息、删除系统中用于存放网页地址数据的hosts文件等破坏活动。
(1)复制自身至%sys32dir%\ridiap080124.exe
生成文件
%ALLUSERSPROFILE%\「开始」菜单\程序\启动\word.lnk
%windir%\ie.ini
%sys32dir%\mcdsrv16_080124.dll
%sys32dir%\mcdsrv32_080124.dll
使用批处理删除自身
(2)病毒主要依靠word.lnk开机自启动,指向路径%sys32dir%\ridiap080124.exe
(3)mcdsrv16_080124.dll通过以下方式加载
rundll32.exe%sys32dir%\mcdsrv16_080124.dllstart
每隔100ms查找以下要害窗口,如发现则模拟发送按钮消息,使病毒通过"瑞星卡卡"和"卡巴斯基"等的警告
AVP.AlertDialog
AVP.Product_Notification
AVP.TrafficMonConnectionTerm
IE执行保护
瑞星卡卡上网安全助手-IE防漏墙
(4)mcdsrv32_080124.dll通过注入iexplorer.exe进程,尝试在进程中查找并使用ntsd命令关闭以下进程
RUNIEP.EXE(瑞星卡卡上网安全助手-IE防漏墙)
KRegEx.exe
KVSXP.kxp
360tray.exe
尝试将自身注册至BrowserHelperObjects
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{F1FABE79-25FC-46de-8C5A-2C6DB9D64333}
查找以下键值判定系统是否存在IE保护工具,并将自身写入白名单
Software\Baidu\BaiduBar\WhiteList
Software\Yahoo\Assistant\Assist\adwurl
Software\Microsoft\InternetExplorer\NewWindows\Allow
Software\Microsoft\ProtectedStorageSystemProvider
\Software\Microsoft\InternetExplorer\NewWindows\Allow
Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\DomainsSoftware\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\EscDomains\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\EscDomainsSoftware\Google\NavClient\1.1\whitelist
查找雅虎和IE保护选项的窗口,并按提示做出相对的回应,如自动去掉拦截提示
查找QQ聊天窗口,使用GetWindowTextA获取聊天窗口文本,尝试在最后插入病毒信息自动发送给对方
病毒会查找"drivers\\etc\\hosts"文件是否存在,存在则尝试使用DeleteFile删除
下载list.htm,通过点击指定网站来增加访问率
hxxp://32***2.513389.com/list.htm
如
http://www.1**95.cn
http://www.6**23.cn
http://www.w**75.com/bbs/
http://www.o**7.cn
......
从网络下载
hxxp://xx.5***89.com/080125.exe
hxxp://xx.5***89.com/1844112.exe
通过聊天工具传播