病毒名称(中文):
武装下载器77824
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
77824
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个具有对抗安全软件能力的病毒下载器。它通过重定位内核文件恢复系统的SSDT表,从而使一些具有所谓“主动防御”的安全软件失效。接着,就连接远程地址,下载其它病毒。
释放驱动文件,通过重定位内核文件恢复SSDT表.
后台下载恶意软件,创建注册表启动项.
病毒判定当前的操作系统是否2000、XP或2003,假如不是则不释放驱动文件.
病毒读取自身资源,在%Temp%文件夹下释放临时文件,把资源数据写入.(驱动文件)
调用NtQuerySystemInformation获得内核文件的名称后,调用相关API加载内核文件得到KeServiceDescriptorTable的RVA,然后分析内核文件的重定位表中对此RVA的引用,获取SSDT及系统函数的原始地址.
创建服务名为"winsync32"的系统服务,服务路径指向释放在%Temp%文件夹下的临时文件.(驱动文件)
病毒自身提权,把自身复制至%systemroot%\system32\msosiocp.dll.
枚举进程,把%systemroot%\system32\msosiocp.dll注入至explorer.exe的进程空间.
从后台下载http://c.1**dm.com/okok.txt保存至%Temp%下,获取其内容下载恶意程序并执行.
创建注册表:
Key:HKEY_CLASSES_ROOT\CLSID\{AE27505C-C46F-4eb2-9A17-5D1E1F46BC09}\InprocServer32
Value:""
Data:"%systemroot%\system32\msosiocp.dll"
Key:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Value:"{AE27505C-C46F-4eb2-9A17-5D1E1F46BC09}"
Data:""
