病毒名称(中文):
360终结者
病毒别名:
NetSpools病毒,
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
101376
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这个病毒属于某木马综合体的一部分,用于对抗安全辅助软件360安全卫士。病毒被激活后会不停地在系统内搜索是否存在360安全卫士相关进程,然后利用360清除顽固文件的模块来反清除360。病毒作者这种“以子之矛攻子之盾”的思路比较有特点。
1.病毒在自身所处目录下查找是否存在文件AutoRun.inf,如有,通过搜索窗口类名和标题判定系统中是否存在如“我的电脑”窗口。病毒模拟鼠标按键消息点击窗口左上角,关闭“我的电脑”窗口。
2.病毒通过窗口类名和标题搜索“我的电脑”窗口,如发现该窗口,将地址栏内容设置为病毒当前所在目录(分析时病毒在桌面中),模拟鼠标按键消息点击按钮”转到”进入病毒目录.病毒模拟正常软件注册窗口类,创建窗口,窗口标题Microsoft(窗口并未显示)。
3.对抗安全工具,设置HKLM\software\360safe\safemon子键下的ExecAccess,SiteAccess,MonAccess,VDiskAccess,ARPAccess,IEProtAccess为0。
检测当前系统中是否有safeboxtray.exe,360tray.exe,360rpt.exe,360safe.exe,Iparmor.exe,USBSAFE.exe等安全工具进程(此处作者未直接调用比较字符串常用的库函数,而是自己编写函数实现功能),若有,病毒在x:\windows\system32目录下释放文件NetSpools.zip(实际是360安全卫士文件AntiRK.dll,文件属性设置为系统和隐藏,文件时间设置与winlogo.exe一致),加载该dll利用其提供的功能函数,结束上述进程、删除进程文件,完美的实现”以彼之道,还施彼身”,360安全卫士360Safe.exe等相关文件被删除。
4.病毒将X:\WINDOWS\System32\winlogon.exe备份为X:\WINDOWS\System32\KrnlBot.tmp,
病毒利用替换beep.sys技术加载病毒释放的驱动文件NetSpools.sys,创建服务NetSpoolsvsDrv,修改注册表相应位置:HKLM\SYSTEM\CurrentContorlSet\Services\NetSpoolsvsDrv,利用NetSpools.zip删除文件NetSpools.sys,开启病毒服务NetSpoolsvsDrv。
5.病毒删除360安全卫士在注册表中相应启动项信息
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\\RUN,”360safetray”,
”360safebox”,”360antiarp”。
6.病毒不懈的检测系统内进程中是否存在以下进程:safeboxtray.exe,360tray.exe,360rpt.exe,360safe.exe,Iparmor.exe,USBSAFE.exe,发现存在时重复步骤3。
7.备份病毒自身为X:\WINDOWS\System32\NetSpools.exe,属性设置为系统和隐藏,文件时间设置与winlogo.exe一致。
释放文件X:\WINDOWS\System32\NetSpools.dll,属性设置为系统和隐藏,文件时间设置与winlogo.exe一致。
8.创建服务NetSpoolsvs来加载文件X:\WINDOWS\System32\NetSpools.exe,为了欺骗用户,NetSpoolsvs服务描述为”协调跨多个数据库、消息队列、文件系统等资源治理器的事务。假如禁用此服务,依靠此服务的其他服务将无法启动”。
9.修改hosts文件,将360相关网站域名屏蔽,用户无法访问360网站。
