| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Adware.Ejik.jg.226304

來源:互聯網  2008-08-14 23:14:14  評論

病毒名稱(中文):

廣告更新模塊226304

病毒別名:

威脅級別:

★☆☆☆☆

病毒類型:

廣告軟件

病毒長度:

226304

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

這是某廣告木馬的組成模塊。它負責下載最新的配置文件數據,病毒母體可以根據這些數據,彈出相應的廣告頁面。

該病毒是一個DLL,通過他釋放的配置信息找到母體,calc.exe,該母體會在%windir%\system32下釋放隨機名的DLL,並注冊爲BHO,彈出系統正常的calc.exe(計算器程序),該DLL會訪問網絡,讀取相關數據,寫入additionalcon.ini配置文件(有些版本是),讀取.ini的信息來屏蔽安全網址和彈廣告。

1.母體calc.exe會先從資源中釋放隨機名A.DLL到%windir%\system32下。

2.運行regsvr32/s%windir%\system32\A.dll,注冊爲BHO。

3.運行%windir%\system32\calc.exe,欺騙用戶。

4.A.dll會訪問以下網址,並

http://www.xxxx.cn/linkto.txt(www.baidu.com)

http://www.baidu.com

http://www.xxxx.cn/search.txt(含廣告google的搜索地址)

http://www.xxxx.cn/search1.htmlhttp://www.xxxx.cn/search.htmlhttp://www.xxxx.cn/search.htmlhttp://www.xxxx.cn/search.htmlhttp://www.xxxx.cn/search.htmlhttp://www.xxxx.cn/search1.htmlhttp://www.xxxx.cn/search.htmlhttp://www.xxxx.cn/search.htmlhttp://www.xxxx.cn/search.htmlhttp://www.xxxx.cn/search.html

http://www.xxxx.cn/search_google.txt(含廣告google的搜索地址)

http://www.xxxx.cn/googlesearch.html

http://www.xxxx.cn/startpage_wzw.txt(主頁地址列表)

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/startpage.txt(主頁地址列表)

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/

http://www.xxxx.cn/upsite.txt(更新網址列表)

http://1.xxxx.cn;

http://3.xxxx.cn;

http://4.xxxx.cn;

http://up3.xxxx.cn;

http://up1.xxxx.cn;

5.複制%windir%\system32\additionalcon.ini到%windir%\system32\adionalcoo.ini,刪除原來additionalcon.ini,將上面得到的一些鏈接和自己的版本信息寫入additionalcon.ini

6.選取以下任意一網址,鏈接上ver.txt讀取裏面的內容

http://1.xxxx.cn;

http://3.xxxx.cn;

http://4.xxxx.cn;

http://up3.xxxx.cn;

http://up1.xxxx.cn;

裏面內容爲:071601;IEExt.dll;1;

比較當前版本是不是071601不是判定後面是否爲1,爲1則將文件名鏈接到網址後面,(如http://1.xxxx.cn/IEExt.dll)下載到%windir%\system32下,regsvr32/s注冊爲BHO。

7.讀取配置文件additionalcon.ini,給IE初始頁傳入startpage=裏的網址,並判定當前訪問的URL是不是包含自己的統計網址,發現則彈出對話框,說裏面含有惡意盜號木馬病毒.

8.判定當前訪問的URL是不是包含以下安全網站的鏈接,包含直接跳到宣傳優化大師的頁面上。

http://u.www.xxxxxxx.com/channel.php?c=jdzhouliang_sp&u=1010

9.判定當前URL是不是baidu.com或是google.cn,是的話,搜索代碼中的」@URL」並獲取值賦到以下鏈接的keyword=後面並訪問該URL他們會跳轉到

http://www.google.cn/webhp?client=pub-4540456948437916&prog=aff&ie=GB231...

裏面包含google的廣告。

病毒名稱(中文): 廣告更新模塊226304 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 廣告軟件 病毒長度: 226304 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是某廣告木馬的組成模塊。它負責下載最新的配置文件數據,病毒母體可以根據這些數據,彈出相應的廣告頁面。 該病毒是一個DLL,通過他釋放的配置信息找到母體,calc.exe,該母體會在%windir%\system32下釋放隨機名的DLL,並注冊爲BHO,彈出系統正常的calc.exe(計算器程序),該DLL會訪問網絡,讀取相關數據,寫入additionalcon.ini配置文件(有些版本是),讀取.ini的信息來屏蔽安全網址和彈廣告。 1. 母體calc.exe會先從資源中釋放隨機名A.DLL到%windir%\system32下。 2. 運行regsvr32/s%windir%\system32\A.dll,注冊爲BHO。 3. 運行%windir%\system32\calc.exe,欺騙用戶。 4. A.dll會訪問以下網址,並 http://www.xxxx.cn/linkto.txt(www.baidu.com) http://www.baidu.com http://www.xxxx.cn/search.txt(含廣告google的搜索地址) http://www.xxxx.cn/search1.html http://www.xxxx.cn/search.html http://www.xxxx.cn/search.html http://www.xxxx.cn/search.html http://www.xxxx.cn/search.html http://www.xxxx.cn/search1.html http://www.xxxx.cn/search.html http://www.xxxx.cn/search.html http://www.xxxx.cn/search.html http://www.xxxx.cn/search.html http://www.xxxx.cn/search_google.txt(含廣告google的搜索地址) http://www.xxxx.cn/googlesearch.html http://www.xxxx.cn/startpage_wzw.txt(主頁地址列表) http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/startpage.txt(主頁地址列表) http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/ http://www.xxxx.cn/upsite.txt (更新網址列表) http://1.xxxx.cn; http://3.xxxx.cn; http://4.xxxx.cn; http://up3.xxxx.cn; http://up1.xxxx.cn; 5. 複制%windir%\system32\additionalcon.ini到%windir%\system32\adionalcoo.ini,刪除原來additionalcon.ini,將上面得到的一些鏈接和自己的版本信息寫入additionalcon.ini 6. 選取以下任意一網址,鏈接上ver.txt讀取裏面的內容 http://1.xxxx.cn; http://3.xxxx.cn; http://4.xxxx.cn; http://up3.xxxx.cn; http://up1.xxxx.cn; 裏面內容爲:071601;IEExt.dll;1; 比較當前版本是不是071601不是判定後面是否爲1,爲1則將文件名鏈接到網址後面,(如http://1.xxxx.cn/IEExt.dll)下載到%windir%\system32下,regsvr32/s注冊爲BHO。 7. 讀取配置文件additionalcon.ini,給IE初始頁傳入startpage=裏的網址,並判定當前訪問的URL是不是包含自己的統計網址,發現則彈出對話框,說裏面含有惡意盜號木馬病毒. 8. 判定當前訪問的URL是不是包含以下安全網站的鏈接,包含直接跳到宣傳優化大師的頁面上。 http://u.www.xxxxxxx.com/channel.php?c=jdzhouliang_sp&u=1010 9. 判定當前URL是不是baidu.com或是google.cn,是的話,搜索代碼中的」@URL」並獲取值賦到以下鏈接的keyword=後面並訪問該URL他們會跳轉到 http://www.google.cn/webhp?client=pub-4540456948437916&prog=aff&ie=GB231... 裏面包含google的廣告。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有