Win32.Troj.Agent.um.401408

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

广告弹射器401408

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

广告软件

病毒长度:

401408

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个广告木马程序变种。它会阻止安全软件向用户报告系统异常,并自动登录木马种植者指定的网页,为它们“贡献”流量。此木马还具有自动更新功能。

(1)生成文件

%windir%\mwinsys.ini

%sys32dir%\AlxRes070826.exe

%sys32dir%\inf\scrsys070826.scr

%sys32dir%\inf\scrsys16_070826.dll

%sys32dir%\winsys16_070826.dll

%sys32dir%\winsys32_070826.dll

D:\myplayer.com

通过c:\myDelm.bat删除自身

(2)添加或修改注册表项

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MainCheck_Associations"no"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\runUserinit"rundll32.exe%sys32dir%\winsys16_070826.dllstart"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CommandProcessorAutoRun"""d:\myplayer.com"

(3)winsys16_070826.dll通过注入到rundll32.exe进程中,每隔100ms查找以下包含以下要害字的窗口是否存在,如存在则发送消息关闭

卡巴斯基

瑞星

kv

kill

查毒

杀毒

360safe安全卫士

专杀

木马

毒霸

江民

卡卡

雅虎助手

Windows任务治理器

SymantectAntiVirus

nod32

mcafee

kaspersky

duba

rising

jiangmin

金山反间谍

...

并读取mwinsys.ini配置文件,判定其中的[exe]、[dll_hitpop]等Section下路径的文件是否存在,如不存在则开始CopyFile,

另外,还会查找并修改注册表userinit,不存在则会再次生成

(4)winsys32_070826.dll通过注入iexplorer.exse进程,查找以下键值判定系统是否存在IE保护工具,并将自身写入白名单

Software\Baidu\BaiduBar\WhiteList

Software\Yahoo\Assistant\Assist\adwurl

Software\Microsoft\InternetExplorer\NewWindows\Allow

Software\Microsoft\ProtectedStorageSystemProvider

\Software\Microsoft\InternetExplorer\NewWindows\Allow

Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\DomainsSoftware\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\EscDomains\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\EscDomainsSoftware\Google\NavClient\1.1\whitelist

查找瑞星和卡巴斯基病毒警告窗口,发现则发送消息WM_CLOSE关闭窗口或自动点击窗口中的"是"按钮来逃避杀毒软件查杀

安全警告窗口

AVP.TrafficMonConnectionTerm

...

下载list.htm,通过点击指定网站来增加访问率

http://dhz.8**810.org/dhz1115/list.htm

下载cando.txt,以更新病毒程序

211.1*5.*0.2*8:8080

尝试将自身注册至BrowserHelperObjects

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{F1FABE79-25FC-46de-8C5A-2C6DB9D64333}

尝试在进程中查找并使用ntsd命令关闭以下进程

RUNIEP.EXE(瑞星卡卡上网安全助手-IE防漏墙)

KRegEx.exe

KVSXP.kxp

360tray.exe

查找雅虎和IE保护选项的窗口,并按提示做出相对的回应,如自动去掉拦截提示

(5)病毒可能会修改日期和源QQ传播,但没有实现

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航