病毒名称(中文):
广告弹出器302080
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
广告软件
病毒长度:
302080
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个广告木马。它会劫持系统文件,然后频繁弹出广告页面。该毒还具有自我更新功能。
1.样本msns*.dll先设置钩子注入explorer.exe。
2.下载读取http://www.X***XXX.net/bo/update.ini更新配置文件,下载里面的病毒更新程序http://www.X**X.cn/news/BO1011.exe到Temp目录。
3.会弹出http://unions.X***XXX.net/softConfig_new.jsp?userID=%userID%&validationID=%validationID%&agentID=%agentID%&version=%version%&visitCount=%visitCount%&existTime=%existTime%广告。
4.遍历RUN键值下的所有项,并以其名字建立映像劫持。
5.建立计划任务%windir%\Tasks\MsUpdateTask.job,每个3分钟运行一次。
6.更新程序BO1011.exe,会释放%temp%\nsz[*].tmp\BackOperHelper.dll文件([*]为数字,从1开始往上加).
7.BackOperHelper.dll会算出随机字符连接到msns后,连接成msns*.dll的确定文件名。
8.BO1011.exe会将msns*.dll释放资源到%windir%\下。
9.BO1011.exe释放fanti.sys和regti.sys两个驱动到%windir%下
10.BackOperHelper.dll将%windir%下的fanti.sys和regti.sys两个驱动复制到%windir%\system32\drivers下,并创建相应的服务。
11.fanti.sys,regti.sys会获取驱动启动信息进行对比,出现错误写入%windir%\system32\regti.LOG
12.msns*.dll创建HKLM\SOFTWARE\Microsoft\Service里面写入中毒的时间。
13.msns*.dll创建HKLM\SYSTEM\CurrentControlSet\Services\Reserve\file键值,将自己路径写入。