|
 | 作者: rovecat [rovecat]
 版主 |
登录 |
| 流氓软件“幽灵”档案: 名称:幽灵 行为追踪:“幽灵”运行后可将自己拷贝到%ProgramFiles%Common Files23OSA.EXE中,并释放23OFFICE.dll、23MsOffTDI.sys、23AnRegProt.sys等3个病毒文件,之后添加一个快捷方式到C:Documents and SettingsAll Users开始菜单程序启动Microsoft Office 23.lnk,使病毒能随Windows启动。 三大危害: 1. 破坏系统安全模式 删除安全模式的注册表键值,使用户无法进入安全模式,即使强行进入,也会导致系统蓝屏崩溃 2. 阻止IceSwrod启动 阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod无法启动 3. 下载大量广告程序与病毒文件 开启一个IE进程,读取网址http://t1.*******.net/jw/ini/rules.ini上的内容,并从该址下载广告程序和病毒文件。 “幽灵”分析报告: Win32.Troj.PcGhost.a 中文名:“幽灵” 这是一个能删除系统安全模式的恶意病毒,它还能通过驱动程序的HOOK隐藏自己,并下载广告和病毒程序,使用户的计算机受到更多广告程序的干扰。 1.拷贝与释放文件 病毒能把自己拷贝到这里: %ProgramFiles%Common Files23OSA.EXE 并释放3个文件 %ProgramFiles%Common Files23OFFICE.dll (Win32.Troj.PcGhost.a.40960) %ProgramFiles%Common Files23MsOffTDI.sys (Win32.Troj.PcGhost.a.5120) %ProgramFiles%Common Files23AnRegProt.sys (Win32.Troj.PcGhost.a.6016) 之后添加一个快捷方式 C:Documents and SettingsAll Users开始菜单程序启动Microsoft Office 23.lnk 该LNK指向%ProgramFiles%Common Files23OSA.EXE,使病毒能随Windows启动. 2.驱动级和用户级的Rootkit 病毒会同时使用驱动级(Ring0)与用户级(Ring3)的Rootkit技术隐藏自己的信息,包括程序文件,进程等,使用户无法察觉病毒的存在。 23AnRegProt.sys (Win32.Troj.PcGhost.a.6016) 这个驱动文件负责进行函数欺骗的,使特定的文件不显示: 该驱动HOOK了这几个函数: ZwOpenKey ZwSetValueKey ZwCreateKey ZwQueryDirectoryFile 一但以上函数返回值有以下字符时,就返回失败,使系统误以为不存在这些文件 230SA.EXE 23OFFICE.DLL MICROSOFT OFFICE 23.LNK 这样使得在注册表,文件管理器等工具都无法发现病毒文件. 23MsOffTDI.sys (Win32.Troj.PcGhost.a.5120) 这个文件负责锁定23AnRegProt.sys与自己,防止被用户或其它软件删除。 3.破坏安全模式 病毒会把安全模式的注册表键值删除,键值如下: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSafeBoot 病毒把该键值下面全部项都删除,使用户无法进入安全模式,若用户强行进入安全模式的话会导致系统蓝屏崩溃。 4.干扰IceSword运行 病毒会阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod无法启动。 5.下载广告 病毒会开启一个IE进程(进程使用Rootkit技术隐藏),并读取一网址上的内容, 该网址为http://t1.*******.net/jw/ini/rules.ini 里面的内容为: ---------------------------------------------- [Version] Item0=20061201 Item1=20061202 Item2=20061201 [File] Item0=http://61.182.**.**/xzq/30009.exe Item1=http://61.182.**.**/new/Setup.exe Item2=http://61.182.**.**/new/setie.exe [Size] Item0=62243 Item1=263531 Item2=227446 并下载里面的文件到C:Documents and SettingsAll UsersApplication DataADSL之后运行这些文件,其中30009.exe是病毒文件,病毒名为Win32.Troj.Dropper.rk.62243。 此病毒文件能重新释放Win32.Troj.PcGhost.a病毒,据INI文件分析,该病毒还可能出现新的变种,病毒作者很有可能会在近期放出不同的变种。而Setup.exe与setie.exe则是广告程序,它使用户的计算机受到广告程序的干扰,严重影响了用户的工作。 专家建议: 1.网络下载并安装某些小软件的过程中,一定要仔细阅读每一步的安装说明,以防流氓软件捆绑传播 2.不登陆一些不知名的小网站,以免流氓软件利用网页进行传播 3.安装正版杀毒软件或流氓软件专杀工具,并进行实时升级 |
| 地主 发表时间: 06-12-11 22:45 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: “幽灵” 破坏系统安全模式