这是一个蠕虫病毒.使用Microsoft Visual C 6.0编写
1.exe部分
病毒运行后,创建一个线程,该线程先利用EnumWindows遍历当前系统内的窗口,在CallBack中利用GetClassName,GetWindowText,查找”KAVStart”等名称,找到后向该窗口发送WM_CLOSE和WM_COMMAND消息,再使用FindWindowEx查找”#32770″,”金山毒霸”,”Button”,找到后向该窗口发送WM_LBUTTONDOWN,WM_LBUTTONUP消息,关闭杀毒软件.病毒使用Process32First, Process32Next遍历系统进程,查找进程中是否存在avp.exe假如遍历到该进程,则使用GetSystemTime获得当前系统时间,比较年份是否小于2005,假如不小于,则使用SetSystemTime将系统时间的年份改为2005年,使avp杀毒软件过期.
病毒会比较是否有”-k”参数,假如没有,则创建一个Dispaly Name为”61957A08″的服务,假如有的话,则创建一个线程.从自身文件中读取一个94A5415E.DLL放到%SYSTEM32%目录中,然后使用OpenProcess打开winlogon.exe进程,将94A5415E.DLL名称使用WriteProcessMemory写入,再使用CreateRemoteThread调用94A5415E.DLL.到此exe的工作完毕.
2.DLL部分
病毒上来先创建一个线程.该线程利用fopen,fseek,fread等,打开%SYSTEM32%目录下的61957A08.EXE文件(病毒本身),通过解密得到”http://nx.51ylb.cn/soft/”这个网址.再加载”rpcrt4.dll”调用 “UuidCreateSequential”来获得当前机器的网卡MAC地址,再使用GetComputerNameA得到当前系统的计算机名称.再使用strcat把”http://alexa.verynx.cn/”这个网址连接起来.
病毒判定加载当前DLL的进程
a)假如是winlogon.exe进程,则创建五个线程.其中:
线程一:获取当前计算机时间,比较年份是否大于2005,假如大于则改年份改为2005
线程二:创建一个服务,使计算机在启动时自动加载病毒
线程三:先通过解密得到”61957A08″字符,再加病毒本身复制到”SYSTEM32″目录中.
线程四:删除注册表里的SYSTEM\CurrentControlSet\Services\ERSvc子项.并把SOFTWARE\Microsoft\PCHealth\ErrorReporting下的ReportBootOk,DoReport,ShowUI三个DWORD值设为0(修改的目的就是为了禁止错误报告提示)
线程五:利用PathFileExistsA查找”SYSTEM32″目录中的”61957A08.exe”文件是否存在,假如不存在,则下载http://nx.51ylb.cn/soft/updata.txt列表文件,根据列表中的版本,地址,网址等信息.下载文件,修改IE主页等操作.遍历磁盘,向可移动磁盘中写入auto.exe(为病毒本身)和autorun.inf.其中autorun.inf的内容为:
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
修改注册表内Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\ Hidden\SHOWALL的CheckedValue值为0达到隐藏文件的目的.
最后将DLL注入到explorer.exe进程中.
b)假如是explorer.exe进程,则创建两个线程,其中:
线程一:重复上面winlogon.exe里的线程五的步骤.
线程二:重复上面exe部分查找病毒软件窗口并关闭的步骤.
c)假如不是以上两个进程,则复制61957A08.exe到%SYSTEM32%目录中.
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件天天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到20.16.61版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
危险等级:★★★
病毒名称:Worm.Win32.Agent.zah
截获时间:2007-11-04
入库版本:20.16.61
类型:病毒
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:高
全球化传播态势:低
破坏力:高
清除难度:困难
破坏手段:通过可移动存储设备进行传播
0 responses so far ↓
There are no comments yet...Kick things off by filling out the form below.
Leave a Comment