天高云淡

危险等级：★★★病毒名称：Worm.Win32.AvKiller.cc截获时间：2007-10-27入库版本：19.46.51类型：病毒
感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
清除难度：困难
破坏手段：反杀毒软件，下载可疑文件
此程序为Worm类型程序
1、病毒运行后，先利用”LookupPrivilegeValueA”，”AdjustTokenPrivileges”提升自己的运行权限，然后遍历系统所有进程，查找下列进程:Ras.exe 、avp.com 、avp.exe 、RavTask.exe 、Rav.exe 、RavMon.exe 、QQKav.exe 、QQDoctor.exe 、360Safe.exe 、360rpt.exe 、KAV32.exe、KAVDX.exe 、RfwMain.exe 等
如发现对应进程，则利用”TerminateProcess”关掉进程，使当前系统失去保护。
2、病毒将自身复制到系统盘\Program Files\Common Files\System\和\Program Files\Common Files\Microsoft Shared\目录，并利用GetDriveType判定，向可移动存储设备和本地磁盘写入autorun.inf和病毒本身(dhfmhuc.exe)，其autorun.inf的内容如下:[AutoRun]open=dhfmhuc.exeshell\open=打开(&O)shell\open\Command=dhfmhuc.exeshell\open\Default=1shell\explore=资源治理器(&X)shell\explore\Command=dhfmhuc.exe
3、病毒创建或修改以下注册表键：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ Rav.exeHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution […]

[Read more →]

危险等级：★★★病毒名称：Worm.Win32.Small.ar截获时间：2007-10-30入库版本：19.47.11类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
破坏力：低
清除难度：困难
破坏手段：感染脚本文件
1、病毒运行后，删除Temp目录下的VR*.TMP，因为病毒感染文件时，会在Temp目录下备份文件即将被感染的文件。
2、修改注册表，把病毒文件添加到Windows防火墙默认放行列表：HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List:*:enabled:@shell32.dll,-1，这样就绕过了Windows的防火墙。
3、遍历分区（C-Z），对于本地硬盘以及可移动存储设备的分区，则遍历这些分区中的EXE、SCR、htm、php、ASP文件。针对htm、php、ASP脚本文件后面加上下面的链接<iframe src=”http://ntkrnlpa.info/rc/?i=1″ width=1 height=1 style=”border:0″></iframe>，当打开被感染后的脚本文件，会自动连接上面的网址。针对EXE、SCR文件，作者还没有实现具体功能，但作者已经留下了接口，估计会在之后的版本中实现。对于映射的网络驱动器，
则使用WNetOpenEnumA、WNetEnumResourceA、WNetCloseEnum这些API来枚举局域网内计算机的共享资源，并使用与用第3步的相同的方式对共享文件夹的文件进行感染。
安全建议：
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。
3 不浏览不良网站，不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
[…]

[Read more →]

危险等级：★★★病毒名称：Worm.Win32.AnHao.a截获时间：2007-11-1入库版本：20.16.32类型：蠕虫病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：中
全球化传播态势：低
破坏力：高
清除难度：困难
破坏手段：下载，传播
这是一个DELPHI编写的蠕虫病毒，伪装成系统文件潜伏在用户计算机中，主要功能执行下载后的可疑文件，并通过移动存储设备传播，与安全厂商对抗。
1、病毒运行后，首先将自身复制到%Systemroot%\system32目录下名为: chostbl.exe,并将当前系统目录中的urlmon.dll复制为lovesbl.dll，然后向可移动存储设备和本地磁盘写入autorun.inf和病毒本身(sbl.exe)，其中autorun.inf的内容为:：[autorun]OPEN=sbl.exeshellexecute=sbl.exeshell\Auto\command=sbl.exe
达到自启动和传播的目的。
2、病毒调用CreateProcess打开进程c:\windows\system32\svchost.exe,然后调用VirtualAllocEx,WriteProcessMemory实现往此进程写入病毒代码，实现下载功能。其下载功能是通过调用”URLDownloadToFileA”实现的。
3、添加注册表服务项：(1) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AnHao_VIP_CAHW (Display Name)A GooD DownLoadCAHW= (IMAGEPATH)%SYSTEM%\CHOSTBL.EXE 实现开机自启动目的
4、使用net stop关掉系统自带的防火墙，利用”LookupPrivilegeValueA”，”AdjustTokenPrivileges”提升自己的运行权限，然后遍历系统所有进程，查找以下进程:360tray.exe、360safe.exe、runiep.exe、avp.exe
如发现对应进程，则利用”TerminateProcess”关掉进程，使当前系统失去保护。
5、查找AVP.AlertDialog、AVP.Product_Notification窗口，假如存在则发送WM_QUIT消息关闭窗口。
6、查找安全软件窗口标题的要害字，试图关闭安全软件，要害字包括 ：防火墙、 […]

[Read more →]

危险等级：★★★病毒名称：Worm.Win32.Agent.zah截获时间：2007-11-04入库版本：20.16.61类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：高
全球化传播态势：低
破坏力：高
清除难度：困难
破坏手段：通过可移动存储设备进行传播
这是一个蠕虫病毒.使用Microsoft Visual C 6.0编写
1.exe部分
病毒运行后,创建一个线程,该线程先利用EnumWindows遍历当前系统内的窗口,在CallBack中利用GetClassName,GetWindowText,查找”KAVStart”等名称,找到后向该窗口发送WM_CLOSE和WM_COMMAND消息,再使用FindWindowEx查找”#32770″,”金山毒霸”,”Button”,找到后向该窗口发送WM_LBUTTONDOWN,WM_LBUTTONUP消息,关闭杀毒软件.病毒使用Process32First, Process32Next遍历系统进程,查找进程中是否存在avp.exe假如遍历到该进程,则使用GetSystemTime获得当前系统时间,比较年份是否小于2005,假如不小于,则使用SetSystemTime将系统时间的年份改为2005年,使avp杀毒软件过期.
病毒会比较是否有”-k”参数,假如没有,则创建一个Dispaly Name为”61957A08″的服务,假如有的话,则创建一个线程.从自身文件中读取一个94A5415E.DLL放到%SYSTEM32%目录中,然后使用OpenProcess打开winlogon.exe进程,将94A5415E.DLL名称使用WriteProcessMemory写入,再使用CreateRemoteThread调用94A5415E.DLL.到此exe的工作完毕.
2.DLL部分
病毒上来先创建一个线程.该线程利用fopen,fseek,fread等,打开%SYSTEM32%目录下的61957A08.EXE文件(病毒本身),通过解密得到”http://nx.51ylb.cn/soft/”这个网址.再加载”rpcrt4.dll”调用 “UuidCreateSequential”来获得当前机器的网卡MAC地址,再使用GetComputerNameA得到当前系统的计算机名称.再使用strcat把”http://alexa.verynx.cn/”这个网址连接起来.
病毒判定加载当前DLL的进程
a)假如是winlogon.exe进程,则创建五个线程.其中: 线程一:获取当前计算机时间,比较年份是否大于2005,假如大于则改年份改为2005 […]

[Read more →]

危险等级：★★★病毒名称：Worm.Win32.AvKiller.ck截获时间：2007-11-8入库版本：20.17.31类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：高
全球化传播态势：低
破坏力：高
清除难度：困难
破坏手段：通过IM程序传播
这是一个蠕虫病毒,利用Upack程序进行保护 病毒会运行后将自身复制到以下几个地方C:\Program Files\Common Files\System\dwshvkv.exe,C:\Program Files\Common Files\Microsft Shared\xemjgnn.exe,C:\Program Files\meex.exe,并利用SetFileAttributesA把文件设置为系统和隐藏属性. 病毒会把服务列表中的wscsvc, helpsvc, wuauserv, SharedAccess这四个服务器,利用OpenSCManagerA, OpenServiceA, ControlService设置为停止状态. 病毒会使用OpenMutex查找名为” ###GW(C?D87I>K7”的实例,假如存在则继续工作,假如查找失败则直接退出.
病毒运行后,先利用”LookupPrivilegeValueA”,”AdjustTokenPrivileges”提升自己的运行权限,然后遍历系统所有进程,查找下列进程: “360Safe.exe”, “360tray.exe” ,”VsTskMgr.exe”,”UpdaterUI.exe”,”TBMon.exe”, “scan32.exe”, “VPC32.exe”,”VPTRAY.exe”, “KRegEx.exe”, “KRegEx.exe”,”kvsrvxp.kxp”,”kvsrvxp.exe”,”KVWSC.EXE”, “Iparmor.exe”, “AST.EXE”,如发现上述中的进程,则利用”TerminateProcess”关掉进程,使当前系统失去保护.病毒还会修改系统时间的方式,使AVP杀毒软件失效
[…]

[Read more →]