病毒名称(中文):
鸽子窝下载器363520
病毒别名:
灰鸽子下载器363520,灰鸽子下载器
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
363520
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这个是一个蠕虫型下载器。它采用了类似灰鸽子的部分代码,会通过局域网和AUTO技术进行传播,下载其它病毒程序到中毒电脑中运行。
1.生成隐藏文件:
C:\ProgramFiles\NetMeeting\svchost.exe
2.修改注册表,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerShadowTypedword:00000110
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerShadowStartdword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerShadowErrorControldword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerShadowImagePathhex(2):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,73,5c,4e,65,74,4d,65,65,74,69,6e,67,5c,73,76,63,68,6f,73,74,2e,65,78,65,00,
3.该病毒运行后首先是检查运行状态:检测自己的路径是否是C:\ProgramFiles\NetMeeting\svchost.exe,如不是则进行复制自己等
初始化操作,反之则以服务方式运行。
4、注册为服务运行:病毒通过调用StartServiceCtrlDispatcher、CreateServiceA等函数,注册名称为PowerShadow、目标为
C:\ProgramFiles\NetMeeting\svchost.exe的服务,然后调用StartServiceA启动服务。
5、病毒启动多个线程尝试进行网络传播和下载。病毒根据标志决定是否对本地固定逻辑盘建立AutoRun。
6、在固定磁盘中建立AutoRun实现自启动:
病毒复制自己到该逻辑盘根目录下,名称为setup.exe,并生成AutoRun.inf文件以达到自动运行,病毒将setup.exe和
AutoRun.inf的文件属性设置为系统和隐藏。
7、窗口消息处理:
病毒每隔1秒调用破坏反病毒软件和复制自己的代码,每隔20分钟尝试下载http://www.XXXXX.cn/jj/svch0st.exe到
本地并运行。病毒还会得到新插入的可移动设备,并对该设备进行感染。
8、破坏反病毒软件和复写文件:
病毒获取当前光标下的窗口及其顶层父窗口,检测其窗口标题中是否是或包含如下内容:Windows任务治理器、安全卫士、
扫描、专杀、注册表、Process、进程、木马、防御、防火墙、病毒、检测、Firewall、virus、anti、金山、江民、卡巴斯基、
worm、杀毒等,假如包含这些内容,病毒通过向其发送WM_DESTROY、WM_CLOSE消息来破坏这些窗口,以此来破坏反病毒软件的
运行。
9.病毒通过处理WM_TIMER消息,每隔1秒复制自己并复写注册表,以保护自己
10.病毒获取当前网段并将最后一个字段替换为%s2-%s255,然后启动ArpW.exe。
11.病毒每隔30分钟循环执行如下代码感染网络:
(1)感染局域网计算机。病毒获取本机ip后以此遍历局域网,通过自带的用户名和密码字典尝试将psexec.exe和server.exe写入局域网
中其它计算机中,然后以如下命令行启动psexec.exe
(3)感染当前连接的计算机。病毒获取当前连接的计算机的ip地址,然后利用用户名和密码字典尝试对该ip地址的计算机
写入psexec.exe和server.exe并启动运行。
用户名和密码字典如下:
用户名:administrator、admin、guest、alex、home、love、user、game、movie、time、yeah、money、xpuser
密码:NULL、password、123456、qwerty、abc123、memory、12345678、88888、5201314、1314520、asdfgh、angel、asdf、baby、woaini
12.病毒遍历c到z的逻辑盘,对所有目录进行感染,但排除保护如下字符串的目录:
WindowsMediaPlayer、OutlookExpress、InternetExplorer、NetMeeting、ComPlusApplications;Messenger、WINNT、
DocumentsandSettings、SystemVolumeInformation、Recycled、WindowsNT、WindowsUpdate、Messenger、
MicrosoftFrontpage、MovieMaker、WINDOWS。
病毒只感染后缀名为exe的可执行文件,感染时病毒在被感染文件的代码节的最后的内容为0的地方写入病毒代码,
并将pe头中入口点改为指向病毒代码。