新客网WWW.XKER.COM:致力做中国最专业的网络学院!
学院: 操作系统 - 网络应用 - 服务器 - 网络安全 - 工具软件 - 办公软件 - Web开发 - 数据库 - 网页设计 - 图形图像 - 媒体动画 - 硬件学堂 - 存储频道 - QQ专区
您的位置:首页 > 新闻中心 > 安全资讯 > 正文:病毒营销:类AV终结者病毒设计感染统计功能

病毒营销:类AV终结者病毒设计感染统计功能

新客网 XKER.COM 2007-09-27 来源: 李铁军 收藏本文

金山反病毒中心截获最新的杀软克星病毒,该病毒和AV终结者如出一辙,某些具体的功能方面比AV终结者有更胜一筹。和6、7月份高发的AV终结者不同之处在于,这个病毒没有破坏安全模式、禁止防火墙和关闭系统还原。

以下是该病毒的详细分析报告:

病毒全名 Worm.Downloader.cr.34304

病毒长度 34304

威胁级别 ★★

病毒类型 蠕虫

病毒简介 这是一个蠕虫病毒。该病毒运行后,会在各盘产生auto病毒。并在系统盘的多个目录下生成大量病毒文件。

而且病毒会通过映像劫持的方法,使得各安全软件无法使用。纂改文件隐藏功能。修改了浏览器主页,在打开浏览器时会自行下载病毒,并且弹出广告等行为。

关键字:蠕虫,auto病毒,映像劫持,修改主页,纂改功能

病毒行为:

1.病毒运行后,产生以下病毒文件

 

%local settings%\temporary Internet Files\Content.IE5\EC5UKR17\tj[1].htm
%local settings%\temporary Internet Files\Content.IE5\GR8I0NOH\down[1].txt
%local settings%\temporary Internet Files\Content.IE5\YF9D3U1Z\tempA[1].exe
%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys

在%windows%\Fonts下添加许多后缀为"fon"的文件

在%windows%\system32下添加许多后缀为"dll"和"exe"的病毒文件

在%temp%目录下同样产生病毒文件

2.在各盘目录下,会生成AUTO病毒,分别是niu.exe和autorun.inf。其中,autorun.inf所指向的病毒是niu.exe,当用户左键双击进入该盘时,病毒随之触发。

3.病毒运行后,任务管理器被屏蔽不可使用(如图)。

 

4.病毒运行后,隐藏文件的功能被纂改,并且把文字内容也修改。(如图)

 

那句话的全部是“禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽。”

5.病毒利用映像劫持的技术,使众多安全软件不可使用,只要以下有列出来的文件名,当病毒监测到时,就会自行关闭。看看,还有哪个病毒劫持的安全软件比它多。(如图)

 

6.病毒把主页修改为www.baidu.com

7.会监视窗口,当在浏览器输入与"安全"或"病毒"相关的网站,病毒会把浏览器立即关闭。

8.打开浏览器会弹广告。

9.病毒会从以下地址下载更多木马

 

http://w.******.com/tempA.exe
http://w.******.com/tempB.exe
http://w.******.com/tempC.exe
http://w.******.com/tempD.exe
http://w.******.com/tempE.exe
http://w.******.com/tempF.exe
http://w.******.com/tempG.exe
http://w.******.com/tempH.exe
http://w.******.com/tempI.exe
http://w.******.com/tempJ.exe
http://w.******.com/tempK.exe
http://w.******.com/tempL.exe
http://w.******.com/tempM.exe
http://w.******.com/tempN.exe
http://w.******.com/tempO.exe
http://w.******.com/tempP.exe
http://w.******.com/tempQ.exe
http://w.******.com/tempR.exe
http://w.******.com/tempS.exe
http://w.******.com/tempT.exe
http://w.******.com/tempU.exe
http://w.******.com/tempV.exe
http://w.******.com/tempW.exe

10.通过以下文本里的文件,对以下关键字进行监测,检测后尝试关闭相关网页。

 

http://w.******.com/guanjian.txt

但是这里作者却把两个杀软的名字弄错,(不知是不是故意放卡巴和江民一马)

 

------------------------
木马
病毒
360
瑞星
卡吧(错,应为"卡巴")
金山
毒霸
江名(错,,应为"江民")
------------------------

病毒还会利用www.******.com/pu/tj.asp,进行感染量统计。(这是不是病毒商业化运营的统计系统呢?很有可能是的。)

收藏】 【评论】 【推荐】 【投稿】 【打印】 【关闭
发表评论
要记得去论坛讨论,点击注册新会员匿名评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
专题教程
随机推荐
实用信息推荐