天高云淡

让我们关注互联网!关注世界!

天高云淡 header image 2
“木马下载器变种YTZ”病毒技术 “反病毒杀手变种BE”病毒技术

“木马下载器变种YTZ”病毒

2007年11月20日      打印 打印

危险等级:★★★
病毒名称:Trojan.DL.Win32.Autorun.ytz
截获时间:2007-9-27
入库版本:19.19.42
类型:病毒

感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况:

传播级别:低

全球化传播态势:低

清除难度:困难

破坏力:低

破坏手段:下载恶意程序并执行,可通过移动存储设备传播

这是一个DELPHI编写的病毒,病毒主要功能为下载并运行其它可疑文件,可通过移动存储设备传播。

1.病毒运行后将调用CreateMutex建立一个名为dxdown互斥量,这样就保证系统中只有病毒的一个实例在运行。

2.病毒调用CreateThread创建一个线程,此线程的功能为关闭AVP病毒预警的窗口,使得AVP病毒预警模块失效。主要实现步骤如下:

病毒调用timeSetEvent创建一个指定的时间事件,为延迟1毫秒执行此事件一次。此事件的具体内容为调用FindWindow查找名为”AVP.Void”,”AVP.Product_Notification”的窗口,调用SendMessage发送SC_CLOSE消息关闭这些窗口;如发现”AVP.AlertDialog”的窗口,则查找起窗口内的名为”AVP.Button”,”答应”, “允許”, “跳过”, “跳過”等按扭,调用SendMessage发送BM_CLICK消息来模拟用户点击,实现通过AVP可以识别的病毒报警的功能。

3.病毒调用CreateProcess打开进程c:\windows\system32\svchost.exe,然后调用VirtualAllocEx,WriteProcessMemory实现往此进程中写入病毒代码,实现下载功能。

其下载功能通过调用”URLDownloadToFileA”,”urlmon.dll”,”ShellExecuteA”实现。

病毒将从如下指定地址的未知文件的下载未知文件存储到本地系统指定位置,并自动运行这些下载文件,此类文件多为病毒文件,因为其指定地址的文件可由病毒作者自动更新,危害等级无法确定。

病毒指定下载网址如下:
“http://{Blocked}www.aidd123.cn/fy.exe”
“http://{Blocked}www.aidd123.cn/kuilei.exe”
“http://{Blocked}www.aidd123.cn/nb.exe”等

文件的指定存储地址和文件名如下:
“C:\Program Files\WindowsUpdate\sys.exe”
“C:\Program Files\WindowsUpdate\sys2.exe”
“C:\Program Files\WindowsUpdate\sys3.exe”
“C:\Program Files\WindowsUpdate\sys4.exe”
“C:\Program Files\WindowsUpdate\sys5.exe”
“C:\Program Files\WindowsUpdate\sys6.exe”
“C:\Program Files\WindowsUpdate\sys7.exe”
“C:\Program Files\WindowsUpdate\sys8.exe”
“C:\Program Files\WindowsUpdate\sys9.exe”
“C:\Program Files\WindowsUpdate\sys10.exe”

4.病毒会在系统C盘根根目录下建立一个auto.inf文件,写入如下内容:
[AutoRun]
open=system.exe
shell\open=打开(&O)
shell\open\Command=system.exe
shell\open\Default=1
shell\explore=资源治理器(&X)
shell\explore\Command=system.exe

5.病毒会从’C'到’N'搜索系统的磁盘,通过GetDriveTypeA判定磁盘的类型,当磁盘类型为DRIVE_REMOVABLE(移动存储设备)时,将病毒文件命名为system.exe复制到该磁盘根目录下,并将”C:\auto.inf”复制到该磁盘根目录下命名为Autorun.inf。实现病毒通过可移动存储设备的传播功能。当用户双击打开可移动存储设备,或通过点击右键打开或右键资源治理器打开时,会将病毒system.exe运行起来。

6.病毒执行完可移动存储设备的传播功能后,会将C盘根根目录下创建的auto.inf文件删除。

安全建议:

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。

3 不接收QQ、MSN、Emial等传来的可疑文件。

4 上网时打开杀毒软件实时监控功能。

5 把QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。

清除办法:

瑞星杀毒软件清除办法:

安装瑞星杀毒软件,升级到19.19.42版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。

Tags: Trojan 电脑相关

0 responses so far ↓

  • There are no comments yet...Kick things off by filling out the form below.

Leave a Comment