病毒名称(中文):
感染型下载器102400
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
102400
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载器程序。它会感染用户电脑里的EXE、HTM、HTML、PHP、ASP等格式的文件,然后从网上下载恶意程序执行。该毒还具有一定程度的对抗能力,会破坏一些安全软件的正常运行。
1该病毒运行后通过LoadLibraryA和GetProcAddress得到所需要的API函数地址
2用前面得到的API加载自身资源释放一个exe程序到临时文件夹
C:\DOCUME~1\ADMIN~1.PAD\LOCALS~1\Temp\1.tmp_bak.exe
3ShellExecuteA执行之
第二部分:病毒所释放的1.tmp_bak.exe流程分析
1查找资源"CONNRES",找到则加载之
2若当前进程是C:\WINDOWS\system32\mssmss.exe,;开启服务,程序退出
若不若,跳到3
3CreateMutex一个名为"PEINFECT"的互斥量
4callsub_402C10该函数的作用是
4.1callmy_FindFirstFile查找文件C:\WINDOWS\system32\mssmss.exe,若没有找到,将自己拷贝到C:\WINDOWS\system32\mssmss.exe,设置属性为系统|隐藏,修改文件时间。
4.2打开注册表SYSTEM\\CurrentControlSet\\Services\\WindowsWorkStation
ChangeServiceConfigA修改WorkStation服务的设置,将mssmss.exe设置为服务程序,设置成服务程序后,在服务启动之后,病毒将开始感染除指定文件夹之外的文件夹下的EXE文件和HTM,HTML,ASP,PHP,CGI文件,EXE文件的感染方式为在原始文件添加一个名为ada.的节,并添加一个名为"PERES"的资源。资源内容即为"1.tmp_bak.exe".修改程序入口点的到ada节。被感染的程序执行后,将提取资源释放到1.tmp_bak.exe,执行之。程序将先执行病毒代码再进入原程序。
脚本文件则添加一段代码内容如下:
4.3callsub_402900该函数的作用是
4.3.1提取自身资源释放到提取自身资源释放到
"C:\WINDOWS\system32\mssmss.dll"
4.3.2更新资源
4.3.3遍历进程。查找360安全卫士。若找到360安全卫士,则结束之。
4.3.4注册刚释放的DLL。ShellExecuteA
C:\WINDOWS\system32\regsvr32.exe/s/cC:\WINDOWS\system32\mssmss.dll
4.3.5ShellExecuteA;打开"C:\ProgramFiles\InternetExplorer\iexplore.exe"
第三部分:病毒所释放的mssmss.dll的作用
1查找资源"FIGRES",若找到则加载之
2创建线程,该线程的作用是
2.1比较当前进程名是否是iexplore.exe,
若是,走2.2,若不是,走2.4
2.2遍历进程查找"avp.exe",没找到卡巴进程则跳走,找到则修改系统时间
修改系统服务,将C:\WINDOWS\system32\mssmss.exe修改为系统服务程序
2.3从网上下载程序http://i***en.yh****s.com/iedown/down/upbho.exe到
IE缓存文件夹TemporaryInternetFiles\LoadName1.exe
.执行一个bat文件,该BAT文件的作用是执行刚下载下来的EXE文件并删除BAT文件
2.4比较当前进程名是否是explorer.exe,若是,创建新线程,该线程的作用是,
监视当前是否有卡巴的进程,有则修改系统时间,并隔一时间开启一次服务(病毒程序的感染线程)
3结束
