病毒名称(中文):
野狗下载器40960
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
40960
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个类似于机器狗的木马下载器。它会尝试用修改系统时间、解除主动防御、结束进程等方式,破坏多款安全软件的正常运行,然后下载大量的木马程序。
获取当前进程,把进程权限提升为"SeDebugPrivilege"。
获取原始的SSDT服务函数。
打开atapi.sys,通过搜索指令的方法获取以下五个Irp_Major处理例程:
IRP_MJ_DEVICE_CONTROL
IRP_MJ_INTERNAL_DEVICE_CONTROL
IRP_MJ_POWER
IRP_MJ_SYSTEM_CONTROL
IRP_MJ_PNP
病毒自身实现了GetTickCount这个API函数。
设置系统年份为2000年。
把病毒自身的两段加密的数据进行解密操作。一段数据是生成驱动文件的,另一段是写入\\.\PhysicalDrive0的(该段数据用于创建线程下载其它木马程序)。
创建并启动服务,服务的文件为刚创建的驱动文件。
结束系统上如下进程:ravmon.exe、ravmond.exe、ccenter.exe、360SafeBox.exe、360tray.exe、safEboxtray.exe、kavstart.exe、kissvc.exe、ccsvchst.exe。
分别打开explorer.exe和\\.\PhysicalDrive0,计算explorer.exe在\\.\PhysicalDrive0的位置,把之前解密后的第二段数据(负责下载其它木马)写入。
创建iexplore.exe进程,把写入explorer.exe的代码创建一个远程线程下载其它木马。
远程线程通过使用socket从http://w**a.xst2.cn/4256.txt下载4256.txt文件至%Temp%目录下。然后读取%Temp%目录下的4256.txt读取其它木马的下载地址,下载并创建进程运行。
dx.s**tt.cn/ok.exe
dx.s**tt.cn/arp.exe
dx.s**tt.cn/down/wow.exe
dx.s**tt.cn/down/my.exe
dx.s**tt.cn/down/wd.exe
dx.s**tt.cn/down/tl.exe
dx.s**tt.cn/down/q3.exe
dx.s**tt.cn/down/jx.exe
dx.s**tt.cn/down/cs.exe
dx.s**tt.cn/down/zyhx.exe
dx.s**tt.cn/down/mxd.exe
dx.s**tt.cn/down/jr.exe
dx.s**tt.cn/down/zx.exe
dx.s**tt.cn/down/qhx.exe
dx.s**tt.cn/down/zt.exe
dx.s**tt.cn/down/cq.exe
dx.s**tt.cn/down/wl.exe
dx.s**tt.cn/down/jh.exe
dx.s**tt.cn/down/dj.exe
dx.s**tt.cn/down/zf.exe
dx.s**tt.cn/down/cb.exe
dx.s**tt.cn/down/qn3.exe
dx.s**tt.cn/down/dh3.exe
dx.s**tt.cn/down/dh2.exe
Dx.***t.cn/down/mh.exe
