天高云淡

危险等级：★★★病毒名称：Trojan.DL.Win32.Autorun.ytz截获时间：2007-9-27入库版本：19.19.42类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
清除难度：困难
破坏力：低
破坏手段：下载恶意程序并执行，可通过移动存储设备传播
这是一个DELPHI编写的病毒，病毒主要功能为下载并运行其它可疑文件，可通过移动存储设备传播。
1.病毒运行后将调用CreateMutex建立一个名为dxdown互斥量，这样就保证系统中只有病毒的一个实例在运行。
2.病毒调用CreateThread创建一个线程，此线程的功能为关闭AVP病毒预警的窗口，使得AVP病毒预警模块失效。主要实现步骤如下：
病毒调用timeSetEvent创建一个指定的时间事件，为延迟1毫秒执行此事件一次。此事件的具体内容为调用FindWindow查找名为”AVP.Void”，”AVP.Product_Notification”的窗口，调用SendMessage发送SC_CLOSE消息关闭这些窗口；如发现”AVP.AlertDialog”的窗口，则查找起窗口内的名为”AVP.Button”，”答应”， “允許”， “跳过”， “跳過”等按扭，调用SendMessage发送BM_CLICK消息来模拟用户点击，实现通过AVP可以识别的病毒报警的功能。
3.病毒调用CreateProcess打开进程c:\windows\system32\svchost.exe，然后调用VirtualAllocEx，WriteProcessMemory实现往此进程中写入病毒代码，实现下载功能。
其下载功能通过调用”URLDownloadToFileA”，”urlmon.dll”，”ShellExecuteA”实现。
病毒将从如下指定地址的未知文件的下载未知文件存储到本地系统指定位置，并自动运行这些下载文件，此类文件多为病毒文件，因为其指定地址的文件可由病毒作者自动更新，危害等级无法确定。
病毒指定下载网址如下：“http://{Blocked}www.aidd123.cn/fy.exe”“http://{Blocked}www.aidd123.cn/kuilei.exe”“http://{Blocked}www.aidd123.cn/nb.exe”等
文件的指定存储地址和文件名如下：“C:\Program Files\WindowsUpdate\sys.exe”“C:\Program Files\WindowsUpdate\sys2.exe”“C:\Program Files\WindowsUpdate\sys3.exe”“C:\Program Files\WindowsUpdate\sys4.exe”“C:\Program Files\WindowsUpdate\sys5.exe”“C:\Program Files\WindowsUpdate\sys6.exe”“C:\Program Files\WindowsUpdate\sys7.exe”“C:\Program […]

[Read more →]

危险等级：★★★病毒名称：Trojan.Clicker.Win32.Agent.ymc截获时间：2007-7-17入库版本：19.32.12类型：木马
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：中
全球化传播态势：中
破坏力：中
破坏手段：该病毒会下载不同类型的病毒，破坏手段各异
此程序为Trojan类型程序
1.查找用户进程中是否存在卡巴斯基杀毒软件进程（avp.exe）,假如存在创建ggkb.bat文件，把用户系统时间修改为2005-01-18，使得该杀毒软件失效，同时查找”卡巴斯基反病毒软件 6.0: 通知”窗口，向其发送”WM_CLOSE”消息，关闭该杀毒软件进程, 运行完后该文件会把自己删除。
2.根据当前系统信息，生成一个8位随机数（如EEA1C1AE），把kowinIe和 kowin进行变换生成长度为8的新名字，并在System32目录下释放病毒本身和动态库并以新名字命名（如91CFD66E.EXE、4B0B329C.DLL）。
3.生成以上面随机数命名的服务实现开机自启动: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EEA1C1AE EEA1C1AE = (ImagePath)C:\WINNT\System32\91CFD66E.EXE -k
4.启动生成的服务，把动态库注入到用户当前运行的所有进程中。
5.遍历磁盘，把自己命名为auto.exe拷备到所有的磁盘中，添加autorun.inf得用户双击打开磁盘时同时运行病毒。
6.添加以下键值把文件查看设置为不显示隐藏，达到隐藏自己的目的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue = 0
7.在System32目录下生成delme.bat文件，运行该文件把自己删除掉。
[…]

[Read more →]

危险等级：★★★病毒名称：Trojan.PSW.Win32.RocOnline.du截获时间：2007-9-13入库版本：19.19.40类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：中
全球化传播态势：低
清除难度：困难
破坏力：低
破坏手段：窃取网络游戏《魔域》用户密码，有自我保护功能
这是一个C语言编写的病毒，病毒主要功能为窃取网络游戏《魔域》用户密码，具有自我保护功能。
病毒行为如下：
1.病毒首先会调用Process32First，Process32Next函数，查找系统中是否有AVP.EXE进程，假如有则将系统时间变为2003（程序中固定将SystemTime.wYear定为:”2007 (-4)”）,通过修改本地时间，来使得AVP的KEY失效，AVP不能使用。
2.调用FindWindow查找如下窗口：“Class = “#32770″，Title = “瑞星注册表监控提示””；“Class = “#32770″，Title = “IE执行保护””；“Class = “#32770″，Title=”瑞星卡卡上网安全助手-IE防漏墙””；“AVP.AlertDialog”；“AVP.Product_Notification”；“AVP.TrafficMonConnectionTerm”
假如找到如上窗口，病毒会调用SendMessage函数，发送WM_LBUTTONDOWN，WM_LBUTTONUP消息实现模拟鼠标点击事件，通过此方法来通过杀毒软件的防护功能。
3.病毒会调用CopyFile等文件操作的API函数将自身复制到病毒构造指定路径“C:\Program Files\NetMeeting\ravmymon.exe”下，调用WinExec函数将此文件运行起来，调用DeleteFile将原样本删除。
4.复制到系统中的ravmymon.exe运行后，释放出dll和配置文件分别为以下指定名称，并将此3个文件的属性设置为HIDDEN，SYSTME。C:\Program Files\NetMeeting\ravmymon.cfgC:\Program Files\NetMeeting\ravmymon.dat
5.调用CreateRemoteThread起远程线程将动态库ravmymon.dat驻入到EXPLORER.EXE进程中。
[…]

[Read more →]

危险等级：★★★病毒名称：Trojan.DL.Win32.Inject.riu 截获时间：2007-10-8入库版本：19.44.11类型：病毒
感染的操作系统：Windows XP， Windows NT， Windows Server 2003， Windows 2000
威胁情况：
传播级别：中
全球化传播态势：低
破坏力：中
破坏手段：从列表中下载病毒，偷盗用户敏感信息，关闭安全软件的提示消息，通过可移动存储设备进行传播
这是一个下载器病毒
病毒运行后，先将自身复制到%SYSTEMDIR%目录中，并更名为serves.exe，并利用CreateServiceA创建服务，其中Display Name为:”Performance Logs and Ale”，路径为”%SYSTEMDIR%/serves.exe”.
病毒会利用SetTimer注册一个回调例程，这个例程会利用CreateThread创建一个线程，该线程的主要作用就是利用FindWindow依次查找”IE 执行保护”、”答应执行”、”确定”以及”瑞星卡卡上网安全助手”、”答应”这些要害字，假如查找到，则向这些窗口发送WM_LBUTTONDOWN和WM_LBUTTONUP消息，关闭这些安全软件的提示消息，使计算机失去保护。
病毒会遍历系统内进程寻找IEXPLORE.exe，假如没有则启动一个IEXPLORE.exe.然后病毒会打开该进程，再利用VirtualAlloc申请一块内存空间，利用WriteProcessMemory把病毒本身写入，再利用CreateRemoteThread创建远程线程.
病毒会修改注册表内的”HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”下面的’NoDriveTypeAutoRun’，并将该键值修改为0，打开自动运行。
病毒会从http://fghy66.xxx.com/7.exe利用URLDownloadFile下载该程序并存放在%SYSTEM32%目录中，并利用WinExec运行下载后的程序.然后利用GetDriveType判定磁盘类型，并向可移动存储设备中写入autorun.inf和病毒本身，其中autorun.inf的内容为:[Aurotun]open=serves.exeshellexecute=serves.exeshell\Auto\command=serves.exe
病毒最后会在%SYSTEM32%目录中，写入一个DELEDOWN.bat，删除病毒本身.bat文件内容为::trydel %FileName%if exist %FileName% goto trydel %0
并运行该批处理文件来自删除。
安全建议：
[…]

[Read more →]

危险等级：★★★病毒名称：Trojan.DL.Win32.Agent.zig截获时间：2007-10-8入库版本：19.44.10类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
清除难度：一般
破坏手段：下载恶意程序并执行
这是一个Delphi编写的病毒，病毒主要功能为下载并运行其它可疑文件，具有反杀毒软件的功能。
1．病毒运行后起一个进程加载病毒主文件zsmscc070923.exe，放出如下文件：%windows%\System32\zsmscc070923.exe%WINDOWS%\zsmscc16.ini%WINDOWS%\System32\zsmscc070923.dll%WINDOWS%\System32\zsmscc32.dllC:\downf.batC:\nmDelm.bat
配置文件zsmscc.ini并放出zsmscc070923.dll，利用Rundll32.exe加载并运行zsmscc070923.dll中的代码。最后放出nmDelm.bat和downf.bat两个文件。运行nmDelm.bat，downf.bat实现病毒主文件运行后删除。
2．病毒创建一个线程，此线程的功能为关闭杀毒软件预警的窗口，使得病毒预警模块失效。主要实现步骤如下：
延迟2毫秒执行此如下功能一次，调用FindWindow查找名为”IE执行保护”，”瑞星卡卡上网助手-IE防漏墙”，”AVP.Product_Notification”，”AVP.TrafficMonConnectionTerm”，调用SendMessage发送SC_CLOSE消息关闭这些窗口；
如发现”安全警告”，”AVP.AlertDialog”的窗口，则查找起窗口内的名为”AVP.Button”，”答应”， “允許”， “跳过”， “跳過”等按扭，调用SendMessage发送BM_CLICK消息来模拟用户点击。这样会导致病毒 运行后，卡卡上网助手和AVP的某些功能同于无形。
3．zsmscc070923.dll会对当前顶层窗口进行窗口标题的判定。假如窗口标题中出现以下要害词：“卡巴斯基”，“360safe”，“安全卫士”，“雅虎助手”，“Windows 任务治理器”， “Symantec AntiVirus”，“kaspersky”，“jiangmin”，“金山反间谍”，“注册表编辑器”，“启动治理”，“启动项治理”，“进程治理”，“进程项治理”，“系统配置实用程序”，则对该窗口发送WM_SYSCOMMAND, SC_CLOSE消息，关闭窗口。这样做会使没有进行该消息过滤的窗口退出，使这些保护、治理工具失效。
4．放出的zsmscc32.dll的主要功能如下：起远程线程将zsmscc32.dll驻入到iexplore.exe进程中，调用urlmon.dll!URLDownloadToFile，WinExec等API函数下载病毒自身，可能是为了日后及时升级该自身程序。
安全建议：
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。
[…]

[Read more →]

危险等级：★★★病毒名称：Trojan.DL.Win32.Autorun.yul截获时间：2007-10-8入库版本：19.44.10类型：病毒
感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：中
破坏力：中
清除难度：中
破坏手段：下载并运行其它可疑文件，具有反安全软件的功能
此程序为Trojan类型程序
1.病毒运行后会创建一个名为%$#&**(%$#))(*&^%@#AS的互斥体，防止进程中有多个病毒进程运行。
2.使用OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges等API提升自己的权限，方便自己对其他进程进行操作。
3.调用以下命令结束以下服务： Net Stop Norton Antivirus Auto Protect Service Net Stop mcshield net stop “Windows Firewall/Internet Connection Sharing (ICS)” net stop System Restore Service
4.查找以下进程窗口并发送WM_QUIT消息关闭进程:Windows Security Center、Symantec AntiVirus、ZoneAlarm、天网防火墙个人版、天网防火墙企业版、瑞星个人防火墙下载版…
[…]

[Read more →]