病毒名称(中文):
武装AUTO下载器991232
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
14680
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个感染型的下载器。它能够穿透系统的还原保护,破坏安全软件的正常运行。还会利用AUTO技术进行传播。
感染C:\WINDOWS\system32\spoolsv.exe文件,并穿还原保护,结束安全软件进程,修改系统时间,在每个驱动器下复制autorun.inf和其对应的病毒文件,感染全盘网页文件,下载大量病毒。
1.查找进程smss.exe是否存在,不存在退出。
2.判定自身是不是驱动器打开,是则ShellExecuteAopen盘符:\打开
3.删除"C:\WINDOWS\Tasks\0x01xx8p.exe"将自身movefile到"C:\WINDOWS\Tasks\0x01xx8p.exe"。
4.判定进程中有没有avp.exe有了修改系统时间为2004年1月1号。
5.提升自身为SeDebugPrivilege权限,TerminateProcess结束avp.exekvsrvxp.exekissvc.exe
6.将"C:\WINDOWS\system32\dllcache\spoolsv.exe"拷贝到C:\WINDOWS\system32\spoolsv.exe,将C:\WINDOWS\system32\spoolsv.exe复制到C:\WINDOWS\Tasks\spoolsv.ext和SysFile.brk。
7.判定spoolsv.exe最后一个节是不是".WYCao",是的退出感染,不是则覆盖spoolsv.exe的最后一个节。
8.调用sfc.dll的模块.#5地址,.#5的意思是这个模块的导出函数序号,这个函数就是操作文件保护的。
9.删除C:\WINDOWS\system32\spoolsv.exe,将C:\WINDOWS\Tasks\spoolsv.extMoveFile到C:\WINDOWS\system32\spoolsv.exe,删除C:\WINDOWS\Tasks\spoolsv.ext。
10.搜索进程中有没有"explorer1.exe",存在将自身WriteProcessMemory写入该进程。
11.下载http://w.XXXXX.cn/config.txt到%windir%\system32\config.txt,复制到windows.txt。
12.搜索非windows和ProgramFiles目录下的所有.do.htm.html.shtm.shtml.asp.aspx.php.jsp.cgi.xml将插入。搜索到.gho文件删除。
13.下载病毒列表中的病毒,下载到system32下,并运行。
14.先删除每个驱动器下的autorun.inf,给每个驱动器下创建autorun.inf和病毒自身母体MSDOS.bat。
15.当SendGet不为空时,发送用户的计算机名到网络接收端。
16.释放资源中的驱动到C:\zzz.sys,并创建服务zzz,用sc来加载启动。
17.先创建设备\.\c:然后DeviceIoControl成功创建\\.\yyy2设备,将修改后的C:\WINDOWS\system32\spoolsv.exe复制到\\.\yyy2\windows\system32\spoolsv.exe,删除服务,删除C:\zzz.sys。
18.感染spoolsv.exe后的现创建病毒自身c:\WINDOWS\windows.ext,并运行,调到spoolsv.exe程序入口点。