天高云淡

危险等级：★★★病毒名称：Virus.Win32.LYW.a截获时间：2007-9-2本报告更新时间：2007-9-2入库版本：19.38.62类型：病毒感染的操作系统：Windows 9x/NT/2000/XP/2003/Vista这是一个由Borland Delphi 6.0 - 7.0编写的蠕虫病毒，病毒利用修改过的NsPACK程序进行保护，该病毒的主要作用就是从网络上下载病毒来感染用户电脑并窃取用户电脑里的信息。病毒还会遍历本地硬盘，感染所有类型为 “EXE”和”SCR”的文件。威胁情况：传播级别：高全球化传播态势：高清除难度：困难破坏力：高破坏手段：感染
　　病毒运行后，首先先用CreateMutex来查找名称”kljsdown”,如发现系统中已经存在该实例,则直接退出,保证系统中只有一个程序在运行. 　　病毒利用FindWindow查找当前进程中是否有IEXPLORE存在,如没有该进程,则使用ShellExecute启动一个IE.并使用OpenProcess打开该进程,利用VirtualAllocEx在内在中申请一块空间,把一段代码写进去,并利用CreteRemoteThread运行写入的代码.
　　写入的代码内容是:从http://******.cn/m1.exe;http://******testkl.cn/m2.exe;http://*****.cn/m3.exe”这些网址上下载病毒.　　并分别保存在”c:\\Program Files\\Common Files\\m1.exe”;”c:\\Program Files\\Common Files\\m2.exe”;”c:\\Program Files\\Common Files\\m3.exe”这三个位置,然后运行.(由于以上三个网址的连接已经失效,所以我们无法得知这三个病毒的具体作用是什么,但是只要病毒作者稍加修改地址,就可以重新生效).
病毒还会起两个线程.其中线程1的作用就是入可移动存储设备里写入病毒本身和autorun.inf,autorun.vbs.该线程5分钟循环执行一次.其中autorun.inf的内容为:[AutoRun]open=WScript.exe AutoRun.vbsshellexecute=WScript.exe AutoRun.vbsshell\Auto\command=WScript.exe AutoRun.vbs
autourn.vbs的内容为:Dim WshShellSet WshShell = Wscript.CreateObject(”Wscript.Shell”)return=WshShell.Run(”AutoRun.exe”,2,false)return=WshShell.Run(”\”,3,false)
线程2的作用是感染”EXE”和”SCR”类型的文件.病毒会遍历本地硬盘所有类型为 “EXE”和”SCR”的文件,找到一个文件后,病毒先判定此文件是否为PE文件.假如是,则遍历文件所有的节信息,查找是否会有名为”.LWY”的节名,假如有,则是已经感染的文件,跳过该文件继续查找.假如没有,病毒在文件添加一个”.LWY”的节,并在里面写入一段已写好的病毒代码,修改程序入口点,感染该文件.
安全建议：1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。3 不浏览不良网站，不随意下载安装可疑插件。4 不接收QQ、MSN、Emial等传来的可疑文件。5 上网时打开杀毒软件实时监控功能。6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。清除办法： 1 . 瑞星杀毒软件清除办法：安装瑞星杀毒软件，升级到19.38.62版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

[Read more →]

危险等级：★★★病毒名称：Virus.Win32.Alisa.a截获时间：2007-9-27入库版本：19.42.42类型：感染型病毒
感染的操作系统：Windows所有版本系统
威胁情况：
传播级别：高
全球化传播态势：低
清除难度：困难
破坏力：高
破坏手段：单纯感染文件
感染型病毒，使用汇编语言编写，病毒体的主要功能代码是加密的，运行时进行自解密。
1、病毒的自解密和反调试
病毒体偏移0×00处为解密代码，也是病毒体的入口点。病毒解密的时候，解密KEY(DWORD)保存在偏移0xC0处，解密大小为0×373，解密起始地址为病毒体偏移0xC8处。
病毒解密的每次循环都通过调用sdtsc指令获取时间戳，并同上一次时间戳相减，通过这种方法检测是否被调试，假如被调试导致循环的时间变大，将会导致解密错误，见下列代码：
00403053 sub eax,dword ptr ss:[ebp 9E] ;两次时间戳相减00403059 jge short _596.0040305D0040305B neg eax0040305D sar eax,19 ;两次时间戳的差右移25位，正常执行肯定为0×0， […]

[Read more →]

危险等级：★★★病毒名称：Win32.MOJI.a截获时间：2007-10-28入库版本：19.47.02类型：感染型病毒
感染的操作系统：Windows XP SP2
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：高
清除难度：困难
破坏手段：感染驱动程序文件
本病毒是一个驱动型病毒，并专门感染扩展名为.sys的驱动文件。
在病毒感染体程序中有“zjjmj2002”字样，根据以往的病毒分析经验并结合该样本的上下文来看，这应该是作者特意留下的签名。
被感染的驱动程序文件加载后依次执行如下几部分操作：
1．获取ntoskrnl.exe和hal.dll的基址：
对于ntoskrnl的基址，病毒通过驱动入口函数的返回地址来寻找ntoskrnl的基址，对返回地址循环按页对齐向前遍历，搜索有效的DOS头。对于hal.dll的基址，病毒通过调用MmGetSystemRoutineAddress获取HalInitSystem的地址，再以该地址用搜索ntoskrnl基址相同的方法获取基址。
2．获取Native API地址：
该病毒采用搜索导入表对比函数名校验值的方法获取本地API地址。在该病毒入口偏移0×14处保存了两个函数名校验值的表，分别对应ntoskrnl和hal.dll。这两个表每个表项为一个DWORD值，以一个为0的DWORD值为结尾，每个DWORD值是一个函数名的校验值。在对应ntoskrnl.exe的表中有36个校验值，在对应hal.dll的表中有4个校验值。病毒在获取ntoskrnl和hal.dll的基址后，搜索其导入表，对比函数名的校验值和这两个表中的校验值，以此来获取API地址。
3．执行病毒体：
病毒在获取重定位地址、获取API地址等初始化后，调用ExAllocatePool函数分配大小为0×1000的内存块并将病毒体复制写入，然后跳到病毒体偏移0×3D8处开始执行。
4．钩取 NtOpenFile：
病毒首先通过打开文件、建立文件映射的方式读取ntdll.dll文件中的信息（导出函数索引等），以便挂钩 NtOpenFile函数，来达到感染用户访问的驱动文件的目的。该病毒尝试打开ntdll.dll时使用了硬编码的字符串“C:\Windows\System32\ntdll.dll”，假如目标系统与其不符合，将无法实现其它hook和感染工作。病毒通过修改cr0寄存器标志位的方法关闭写保护，然后修改NtOpenFile入口处5个字节的代码。病毒将NtOpenFile的前5个字节复制，然后改写为“Jmp xxxx”，hook过程的地址在病毒体偏移0×5C1处。
5．循环反调试检测：
[…]

[Read more →]

危险等级：★★★病毒名称：Win32.Downloader.j截获时间：2007-11-4入库版本：20.17.12类型：感染型病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
破坏力：中
清除难度：困难
破坏手段：感染用户程序，下载未知程序
病毒运行后首先会查找System32路径下是否存在mscrss.exe这个文件，假如没有则进行初始化过程，假如有则进行感染过程。
初始化过程： 首先创建一个名为Peinfect的互斥体防止进程中有多个病毒实例运行。
然后病毒会把自己拷到System32路径下并命名为mscrss.exe同时释放动态库文件mscrss.dll。
添加以下键值实现自启动：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows WorkStationWindows WorkStation = C:\WINDOWS\system32\mscrss.exe，
添加以下键值把动态库注册为浏览器帮助对象，使得用户启动浏览器的同时也加载病毒释放的动态库：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1498DA0-135E-46ea-B01B-86042A31ED82}HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C1498DA0-135E-46ea-B01B-86042A31ED82} = C:\WINDOWS\system32\mscrss.dll
在释放动态库文件之前，病毒会遍历进程查找进程中是否存在360安全卫士的进程360tray.exe,假如存在则结束该进程。
最后病毒会遍历磁盘，遍历磁盘，把自己命名为mscrss.exe拷备到所有的磁盘中，添加autorun.inf使用户双击打开磁盘时同时运行病毒。
感染过程：
病毒会感染除了windows、 winnt、 Program […]

[Read more →]

危险等级：★★★病毒名称：Win32.Downloader.l截获时间：2007-11-6入库版本：19.42.42类型：感染型病毒
感染的操作系统：Windows所有版本系统
威胁情况：
传播级别：高
全球化传播态势：低
破坏力：高
清除难度：困难
破坏手段：注入IE下载病毒，感染文件，写入下载代码
感染型下载者病毒，同时进行注入IE下载执行和感染文件传播。
病毒感染pe可执行程序，写入下载和执行代码，被感染的文件不再感染，只有感染源感染文件。
感染源：
感染源由delphi语言编写，upx加壳保护。
1、感染源运行后，首先通过调用建立名为“wokaon”的互斥量来检查和保证只有一个感染源实例在运行。
2、查找IE和注入：
病毒通过调用FindWindowA查找类名为“IEFrame”的窗口来查找是否有启动的IE进程，假如没有，调用ShellExecuteA，以隐藏窗口方式启动一个“IEXPLORE.EXE”进程。
得到IE进程后，病毒源通过调用OpenProcess、VirtualAllocEx、WriteProcessMemory、CreateRemoteThread函数，将代码注入到IE进程并执行。
3、IE中被注入执行的远程线程代码：
远程线程中，病毒代码3次调用URLDownloadToFileA和WinExec，分别从http://ddd.wokaon.cn/下载如下程序并执行：
“http://ddd.XXXXX.cn/m1.exe” 到本机 “c:\\Program Files\\Common Files\\m1.exe”“http://ddd. XXXXX.cn/m2.exe” 到本机 “c:\\Program Files\\Common Files\\m2.exe”“http://ddd. XXXXX.cn/m3.exe” 到本机 “c:\\Program Files\\Common Files\\m3.exe”
[…]

[Read more →]

危险等级：★★★病毒名称：Win32.Logogo.a截获时间：2007-11-15入库版本：20.18.32类型：病毒
感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：高
全球化传播态势：低
清除难度：困难
破坏力：高
破坏手段：感染EXE文件
这是一个感染型病毒 病毒运行后,先通过GetCommandLine判定是否有参数存在,假如没有,病毒则默认以参数”_sys”利用CreateProcessA进行启动.当病毒以”_sys”启动后,会先自身复制到”%SYSTEMROOT%”\SYSTEM目录中,并改名为logogo.exe.病毒会修改注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项下建立一个”logogo” = %WINDOWS%\SYSTEM\LOGOGOGO.EXE的子键达到自启动的目的.病毒会使用SetTimer设置一个回调函数,该函数的作用就是每1分钟分别以”down”,”worm”做为参数,启动病毒,进行感染和下载的操作.病毒还会创建一个线程,线程的作用包括往注册表内写RUN项,获得当前机器名,MAC地址等,但作用未知,也许是作者留着以后备用的.病毒还会在修改注册表SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution里的所有子项里添加Debugger项,指向病毒本身.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE\ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.EXE\ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE\ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE\ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.EXE\ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File […]

[Read more →]