病毒名称(中文):
伪装下载器98304
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
98304
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载器。它会注入系统安全服务的进程,利用系统进程的空间运行自己,实现隐蔽下载。为躲避用户的查杀,它还会伪装成系统进程。
本病毒释放两个病毒文件,并将释放的文件创建系统服务实现开机自启动.
病毒DLL文件会注入lsass.exe的进程空间.
通过读取指定的网址判定数据,符合的则创建进程执行其它文件.(并不是病毒释放的文件)
病毒运行后释放以下病毒文件:
%systemroot%\system32\loder.exe
%systemroot%\system32\loder.dll
病毒文件%systemroot%\system32\loder.dll枚举进程进程并远程注入lsass.exe进程的空间.
病毒创建线程从以下网址读取数据:
http://www.an***irus-special.cn/mm/wsf.txt
http://www.dru**-medi****ons.com.cn/m/wsf.txt
http://www.8**h.com/msff.txt
http://js.8**h.com/msff.txt
http://mf.8**h.com/msff.txt
根据以上网址读取的数据进行判定,如满足条件的则分别创建不同的进程.创建的进程文件分别指向"systemroot\system32\ctrl.exe"和"systemroot\system32\kerer.exe".(这两个进程文件并不是本病毒释放的.)
病毒通过创建注册表系统服务项实现开机自启动:
HKEY_CLASSES_ROOT\HardWareDevice1001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Service1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Service1ImagePath"%systemroot%\system32\loder.exe-dianji-"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Service1DisplayName"ServiceManage"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Service1ObjectName"LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Service1Description"Windows基本服务治理"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICE1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICE1\0000Service"Service1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICE1\0000Legacydword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICE1\0000Class"LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICE1\0000ClassGUID"{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICE1\0000DeviceDesc"ServiceManage"
