病毒名称(中文):
QQ艳照门病毒
病毒别名:
艳照门病毒,陈冠希原版相片病毒
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
109568
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个木马下载器。该病毒通过给QQ好友发送名为“陈冠希原版相片”的rar格式压缩文件来进行传播,一旦进入用户系统,就会劫持安全软件,并在各驱动器下建立AUTO文件来自启动。然后下载40多种木马程序到用户电脑中运行,造成无法预计的损失。
1.判定autoruninf是否存在,存在获取当前运行的病毒路径的驱动器名,然后打开驱动器,
不存在,跳过。
2.提权限SeDebugPrivilege然后用TerminateProcess来结束进程
360Safe.exe360tray.exeVsTskMgr.exeRuniep.exeRAS.exeUpdaterUI.exeTBMon.exe
KASARP.exescan32.exeVPC32.exeVPTRAY.exeANTIARP.exeKRegEx.exeKvXP.kxp
kvsrvxp.kxpkvsrvxp.exeKVWSC.EXEIparmor.exeAST.EXE
3.向#32770发送PostMessageAWM_COMMAND然后再发送8002消息。
4.改时间为2002年。
5.将C:\WINDOWS\system32\urlmon.dll复制到C:\WINDOWS\system32\syurl.dll。(为了躲
避安全软件对urlmon.dll的监控)
6.用ShellExecuteA调用cacls给
C:\WINDOWS\system32\packet.dll/e/peveryone:f
"C:\WINDOWS\system32\pthreadVC.dll/e/peveryone:f
"C:\WINDOWS\system32\wpcap.dll/e/peveryone:f"
"C:\WINDOWS\system32\drivers\npf.sys/e/peveryone:f"
"C:\WINDOWS\system32\npptools.dll/e/peveryone:f"
"C:\WINDOWS\system32\wanpacket.dll/e/peveryone:f"
"C:\WINDOWS\system32\drivers\acpidisk.sys/e/peveryone:f"
给everyone用户组(就是所有人)对packet.dllpthreadVC.dllwpcap.dllnpf.sysnpptools.dll
wanpacket.dllacpidisk.sys的完全控制
7.调用CMD来停止安全软件的服务
cmd/cnetstopMcShield
cmd/cnetstopKWhatchsvc
cmd/cnetstopKPfwSvc
cmd/cnetstop"NortonAntiVirusServer"
8.用"C:\ProgramFiles\InternetExplorer\IEXPLORE.EXE"打开
http://www.b***uoo.com/tj.htm来欺骗用户,降低用户的怀疑。
9.将自身拷贝到"C:\WINDOWS\system32\wuauc1t.exe",并将属性改为系统隐藏。
10.扫描(C~Z)用GetDriveTypeA来判定当前驱动器是DRIVE_FIXED是就复制
explorer.pif,然后会删除本驱动器下的autorun.inf,创建一个自己的autorun.inf。
11.读"Software\Microsoft\Windows\CurrentVersion\AppPaths\IEXPLORE.EXE",并WinExec
启动。
12.通过FindWindows"IEFrame"打开”IEXPLORE.EXE”将下载部分写入LoadLibraryA
(kernel32.dlluser32.dllShell32.dllsyurl.dll(urlmon.dll的拷贝))GetProcAddress获取
URLDownloadToFileA
13.下载列表http://www.b***uoo.com/****
14.修改"SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden
\showall\"的CheckedValue项改为0(默认为1)
15.删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318},来破坏安全模式。
16.镜项劫持"C:\WINDOWS\system32\wuauc1t.exe"
360rpt.EXE360safe.EXE360tray.EXEAVP.EXEAvMonitor.EXECCenter.EXE
IceSword.EXEIparmor.EXEKVMonxp.kxpKVSrvXP.EXEKVWSC.EXENavapsvc.EXE
Nod32kui.EXEKRegEx.EXEFrameworkservice.EXEMmsk.EXEWuauclt.EXEAst.EXE
WOPTILITIES.EXERegedit.EXEAutoRunKiller.exeVPC32.exeVPTRAY.exe
ANTIARP.exeKASARP.exeQQDOCTOR.EXE
17.截获到#32770发送WM_GETTEXT判定是否成功,并获取标题是不是“与XX聊天中”
成功删除%TempPath%\陈冠希原版相片.rar将刚下载的c:\sys.pif复制到%TempPath%陈冠希原版相片.rar向#32770发送WM_DROPFILES并发送%TempPath%\陈冠希原
版相片.rar当对方不在线时模拟鼠标按键点否。
