天高云淡

让我们关注互联网!关注世界!

天高云淡 header image 2
“网络游戏窃贼变种AAV”病毒 “病毒下载器变种L”病毒

“病毒下载器变种L”病毒技术

2007年11月20日      打印 打印

感染型下载者病毒,同时进行注入IE下载执行和感染文件传播。

病毒感染pe可执行程序,写入下载和执行代码,被感染的文件不再感染,只有感染源感染文件。

感染源:

感染源由delphi语言编写,upx加壳保护。

1、感染源运行后,首先通过调用建立名为“wokaon”的互斥量来检查和保证只有一个感染源实例在运行。

2、查找IE和注入:

病毒通过调用FindWindowA查找类名为“IEFrame”的窗口来查找是否有启动的IE进程,假如没有,调用ShellExecuteA,以隐藏窗口方式启动一个“IEXPLORE.EXE”进程。

得到IE进程后,病毒源通过调用OpenProcess、VirtualAllocEx、WriteProcessMemory、CreateRemoteThread函数,将代码注入到IE进程并执行。

3、IE中被注入执行的远程线程代码:

远程线程中,病毒代码3次调用URLDownloadToFileA和WinExec,分别从http://ddd.wokaon.cn/下载如下程序并执行:

“http://ddd.XXXXX.cn/m1.exe” 到本机 “c:\\Program Files\\Common Files\\m1.exe”
“http://ddd. XXXXX.cn/m2.exe” 到本机 “c:\\Program Files\\Common Files\\m2.exe”
“http://ddd. XXXXX.cn/m3.exe” 到本机 “c:\\Program Files\\Common Files\\m3.exe”

对于病毒启动的IE进程,注入的远程线程代码中除上列的下载执行代码外,最后还调用ExitProcess结束IE进程。

4、添加调用门

感染源会尝试通过两种方式读写内存来添加调用门,但目前截获到的版本中没有0环代码,怀疑该病毒有继续升级的可能。

5、启动感染线程感染本地文件:

感染源启动一个新的线程,在这个线程中进行本地磁盘感染。

在感染线程中,感染源遍历本地逻辑磁盘,对固定和可移动类型的磁盘的所有目录的扩展名为.exe和.rcs的pe文件进行感染。

6、启动线程向可移动磁盘写入autorun.inf试图通过可移动磁盘进行传播

病毒在可移动磁盘上生成“AutoRun.vbs”、“AutoRun.exe”、“AutoRun.inf”文件,其中“AutoRun.exe”为感染源的副本。病毒在“AutoRun.inf”中写入“shellexecute=WScript.exe AutoRun.vbs”,在“AutoRun.vbs”中写入“return=WshShell.Run(”AutoRun.exe”,2,false)”,以此来自动运行可移动磁盘上的感染源AutoRun.exe。

7、感染网络共享目录:

感染源启动上述两个线程后,进入一个无限循环,依次调用WNetOpenEnumA、WNetEnumResourceA等函数查找网络共享目录,然后对找到的可访问共享目录进行文件感染,每次循环的最后调用Sleep函数等待6000毫秒(1分钟)。

8、文件感染函数:

进行文件感染时,感染源检查文件扩展名是否是exe和rcs以及是否是有效PE可执行程序,如不是则不感染。

对符合以上要求的PE可执行文件,感染源检查其最后一个节的节名是否是“WIN”,如不是则不感染。病毒感染时会在被感染文件中加入名为“WIN”的节,通过此检查,病毒可以保证不对自己感染过的文件重复感染。

病毒感染文件时,将被感染文件增加一个名为“WIN”的节,大小为0×251,将病毒体代码写入。病毒修改被感染文件的PE结构,使其入口点指向病毒体偏移0xD1处。病毒将被感染文件的的基址和入口点保存在病毒体偏移0xBD和0xC1处。

病毒体代码中,病毒调用LoadLibraryA、GetProcAddress获取URLDownloadToFileA、WinExec函数,然后调用URLDownloadToFileA下载“http://ddd. XXXXX.cn/main.exe” 为“c:\Program Files\Common Files\WIN.exe”并执行,然后通过保存的原文件的基址和入口点跳回原文件入口点执行。

安全建议:

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。

3 不浏览不良网站,不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。

清除办法:

瑞星杀毒软件清除办法:

安装瑞星杀毒软件,升级到19.42.42版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。

危险等级:★★★
病毒名称:Win32.Downloader.l
截获时间:2007-11-6
入库版本:19.42.42
类型:感染型病毒

感染的操作系统:Windows所有版本系统

威胁情况:

传播级别:高

全球化传播态势:低

破坏力:高

清除难度:困难

破坏手段:注入IE下载病毒,感染文件,写入下载代码

Tags: 电脑相关

0 responses so far ↓

  • There are no comments yet...Kick things off by filling out the form below.

Leave a Comment