科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道“反病毒杀手变种BE”病毒技术细节

“反病毒杀手变种BE”病毒技术细节

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病毒利用CreateMutex创建一个"system"的互斥,保证系统中只有一个实例在运行,病毒将自身复制到%SYSTEM32%目录,并将自已重命名为iexplrer.exe和explorer.exe。

作者:安全中国 2007年10月8日

关键字: 蠕虫病毒 病毒变种 木马病毒

  • 评论
  • 分享微博
  • 分享邮件

这是一个蠕虫病毒,利用Upack程序进行保护

病毒会利用CreateMutex创建一个"system"的互斥,保证系统中只有一个实例在运行,如这个互斥已经存在,则病毒直接退出.

病毒运行后,先利用"LookupPrivilegeValueA","AdjustTokenPrivileges"提升自己的运行权限,然后遍历系统所有进程,查找下列进程: "360Safe.exe", "360tray.exe" ,"VsTskMgr.exe","UpdaterUI.exe","TBMon.exe", "scan32.exe", "VPC32.exe","VPTRAY.exe", "KRegEx.exe", KRegEx.exe","kvsrvxp.kxp","kvsrvxp.exe","KVWSC.EXE", "Iparmor.exe", "AST.EXE",如发现上述中的进程,则利用"TerminateProcess"关掉进程,使当前系统失去保护.

病毒将自身复制到%SYSTEM32%目录,并将自已重命名为iexplrer.exe和explorer.exe,并利用GetDriveType判断,向可移动存储设备和本地磁盘写入autorun.inf和病毒本身(explorer.exe),其实autorun.inf的内容如下:

  [autorun]

  Open=explorer.exe

  Shellexecute=explorer.exe

  Shell\Auto\command=explorer.exe

  Shell=Auto

病毒接下来,会修改注册表的如下地方

  SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall\ 将CheckedValue值赋为0

修改这里是为了隐藏文件

  HKEY_CLASSES_ROOT\\Rising.QuickScan\\shell\\open\\command 将这里的值改为C:\\windows\\system32\\iexplorer.exe

使瑞星的快捷扫描指向病毒.

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonxp.kxp\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVWSC.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nod32kui.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Frameworkservice.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mmsk.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Wuauclt.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ast.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WOPTILITIES.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.EXE\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRunKiller.exe\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPC32.exe\

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPTRAY.exe\

病毒会在上述键值内,加入 Debugger = "C:\WINDOWS\system32\iexplorer.exe" 子键和键值.被修改后,如果运行上述程序,刚被直接指向到C:\WINDOWS\system32\iexplorer.exe这个病毒上面

接下来,病毒会开启一个Iexplore.exe,利用FindWindow查找IEFrame,利用GetWindowThreadProcessId得到进程ID,然后打开该进程后,利用VirtualAlloc申请一段内存空间,利用WriteProcessMemory写入一段代码,代码的作用就是依次从下面的网址下载程序,并保存在C:\winl.pif,C:\winns.pif,C:\system.pif,c:\windows.pif并运行。

网址如下:

  http://%77%77%77%2E%68%61%63%6B%xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

  http://%77%77%77%2E%68%61%63%6B%xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

  http://%6D%6D%62%65%73%74%39%39%xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

  http://%77%77%77%2E%68%61%63%6B%xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

上列地址已经失效,所以无法得知是何类型的病毒。

病毒还会专门针对瑞星杀毒软件进行破坏,病毒会换Rising目录下的RavMonD.exe改名为del.exe,将病毒本身复制到Rising目录中并命名为RavMondD.exe,这样一来,就使得瑞星监控被破坏。

最后病毒利用SetTimer设置一个CallBack,每两分钟执行一次,该段代码的作用就是复制自身到%SYSTEM32%目录中,向可移动存储设备和本地磁盘写入autorun.inf和病毒本身,并通过一些即时通信软件(如:QQ等)向对方发送病毒本身,但名字改为一些比较有诱惑力的名字,如:我的性感照片等....

安全建议:

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。

3 不接收QQ、MSN、Emial等传来的可疑文件。

4 上网时打开杀毒软件实时监控功能。

5 把QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。

清除办法:

瑞星杀毒软件清除办法:

安装瑞星杀毒软件,升级到19.42.22版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章