廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2620 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] 病毒危害:瘋狂黑冰主動防禦 關閉電腦和阻止殺軟
病毒危害:瘋狂黑冰主動防禦 關閉電腦和阻止殺軟
來源:賽迪網 時間:2008-03-19 09:03:32


“黑冰下載器變種102400”是一個黑冰木馬下載器的變種。它會破壞一些安全工具和殺毒軟件的正常運行,並反複寫注冊表來破壞係統安全模式。病毒還會在每個分區下釋放 AUTORUN.INF 來達到自運行。在發作後期,它會下載大量其它木馬程序到用戶電腦上。

病毒名稱(中文):黑冰下載器變種102400

病毒別名:WhiteIce

威脅級別:★★☆☆☆

病毒類型:木馬下載器

病毒長度:36864

影響係統:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行爲:

這是一個黑冰木馬下載器的變種。它會破壞一些安全工具和殺毒軟件的正常運行,並反複寫注冊表來破壞係統安全模式。病毒還會在每個分區下釋放 AUTORUN.INF 來達到自運行。在發作後期,它會下載大量其它木馬程序到用戶電腦上。

病毒功能:

一、病毒通過修改係統默認加載的DLL 列表項來實現DLL 注入,並在注入後設置全局鈎子。通過遠程進程注入,並根據以下關鍵字關閉殺毒軟件和病毒診斷等工具:


360safe
360安全
ieframe
cabinetwclass
mozillauiwindowclass
metapad
dr.web
avg

tapplication
kv
monitor


eset
AfxControlBar42s
360safe
360anti
afx:
金山
thunderrt6main

antivir
費爾
微點
SREng 介紹
升級
thunderrt6formdc
ThunderRT6Timer
arp
ewido
escan
mcagent



bitdefender
facelesswndproc
狙劍



firewall
eqsyss
掃描


病毒枚舉進程名,通過搜索以下關鍵字來關閉進程:


Rav avp twister kv watch kissvc scan guard


找到帶有關鍵字的窗口後,就往目標窗口發送大量的垃圾消息,是其無法處理而進入假死的狀態,當目標窗口接受到退出、銷毀和WM_ENDSESSION 消息就會異常退出。

病毒關閉殺毒軟件的方法沒有什麽創新,但關鍵字變的更短,使一些名字相近的進程或窗口也被關閉。

二、修改注冊表破壞文件夾選項的隱藏屬性修改,使隱藏的文件無法被顯示。

三、刪除注冊表裏關於安全模式設置的值,使安全模式被破壞,病毒會反複改寫注冊表,使清理專家和AV 終結者專殺等修複安全模式的工具失效。

四、在C: 盤目錄下釋放一個 NetApi00.sys 的驅動文件,並創建服務加載它,驅動的作用就是讀寫內核空間的內存。病毒把係統的內核文件加載起來,然後經過重定位,通過驅動來恢複係統中的 SSDT HOOK. 這使得很多的實時監控和主動防禦攔截監控失敗,病毒恢複SSDT 後就刪除自己的驅動。

五、刪除注冊表 HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer 鍵及其子鍵,使用戶設定組策略中的軟件限制策略的設置失效。

六、不斷刪除注冊表的關鍵鍵值來來破壞安全模式和殺毒軟件和主動防禦的服務,使很多主動防禦軟件和實時監控無法再被開啓。

七、病毒在每個硬盤分區和可移動磁盤的根目錄下釋放 autorun.inf 和 pagefile.pif 兩個文件,來達到自運行的目的。並以獨占方式打開這兩個文件,使其無法被直接刪除 、訪問和拷貝。

八、病毒爲了不讓一些安全工具自啓動,把注冊表的整個 RUN 項及其子鍵全部刪除,並且刪除全部的映象劫持項(意圖不明,大概是爲了防止一些利用映象劫持的病毒免疫)。

九、病毒釋放以下文件:


%SystemRoot%\system32\Com\smss.exe
%SystemRoot%\system32\Com\netcfg.000
%SystemRoot%\system32\Com\netcfg.dll
%SystemRoot%\system32\Com\lsass.exe


然後運行SMSS.EXE和LSASS.EXE,由於進程名和係統的兩個關鍵進程名相似,任務管理器無法直接結束它們。

倘若檢測到病毒進程被關閉,就會立即又啓動病毒進程,若某些安全工具阻止了它啓動進程,病毒就立刻重啓係統!

十、病毒並不主動添加啓動項,而是通過重啓重命名方式來把C:\下的0357589.log文件(0357589是一些不固定的數字)改名到“啓動”文件夾下的 ~.exe.664406.exe (664406 也不固定)。重啓重命名優先與自啓動, 啓動完成後又將自己刪除或改名回去. 這種方式自啓動極爲隱蔽,現有的安全工具都無法檢測的出來。AV 終結者專殺無法徹底清除這個磁碟機變種,正是因爲這個原因。

十一、病毒會自動下載最新版本和其它的一些病毒木馬到本地運行。該病毒會下載並利用 ARP 病毒來對內網進行傳染,並會主動更新病毒版本。

十二、病毒會感染除SYSTEM32 目錄外其它目錄下的所有可執行文件。

並且會感染壓縮包內的文件,若機器安裝了winrar會調用其中rar.exe釋放到臨時文件夾,感染壓縮包內文件再打包。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2008-04-10 16:04 |
ken2659 手機
個人文章 個人相簿 個人日記 個人地圖
小有名氣
級別: 小有名氣 該用戶目前不上站
推文 x57 鮮花 x620
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

哇! 表情
又有新的病毒了哦!很煩呢! 表情


★★★請回覆或推薦一下囉!!! ★★★
        感恩了!!
http://bbs.mychat.to/index.php?u=304870
獻花 x0 回到頂端 [1 樓] From:臺灣中華HiNet | Posted:2008-04-11 08:17 |
BrianFan
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x5 鮮花 x13
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

每天就是更新更新!
但是沒有更新又不可以!
可狠的病毒!


獻花 x0 回到頂端 [2 樓] From:臺灣新世紀 | Posted:2008-06-02 15:17 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.064957 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言