金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
释放驱动文件,通过重定位内核文件恢复SSDT表. 后台下载恶意软件,创建注册表启动项.
行为分析:
这是一个具有对抗安全软件能力的病毒下载器。它通过重定位内核文件恢复系统的SSDT表,从而使一些具有所谓“主动防御”的安全软件失效。接着,就连接远程地址,下载其它病毒。
:
影响系统:
Win9x,WinMe,Linux
简介:
释放驱动文件,通过重定位内核文件恢复SSDT表. 后台下载恶意软件,创建注册表启动项.
行为分析:
这是一个具有对抗安全软件能力的病毒下载器。它通过重定位内核文件恢复系统的SSDT表,从而使一些具有所谓“主动防御”的安全软件失效。接着,就连接远程地址,下载其它病毒。
描述:
释放驱动文件,通过重定位内核文件恢复SSDT表.
后台下载恶意软件,创建注册表启动项.
病毒判断当前的操作系统是否 2000、XP或2003,如果不是则不释放驱动文件.
病毒读取自身资源,在 %Temp% 文件夹下释放临时文件,把资源数据写入.(驱动文件)
调用 NtQuerySystemInformation 获得内核文件的名称后,调用相关API加载内核文件得到 KeServiceDescriptorTable 的RVA,然后分析内核文件的重定位表中对此RVA的引用,获取SSDT及系统函数的原始地址.
创建服务名为"winsync32"的系统服务,服务路径指向释放在 %Temp% 文件夹下的临时文件.(驱动文件)
病毒自身提权,把自身复制至 %systemroot%system32msosiocp.dll.
枚举进程,把 %systemroot%system32msosiocp.dll 注入至 explorer.exe 的进程空间.
从后台下载 http:/ /c.1**dm.com/okok.txt 保存至 %Temp% 下,获取其内容下载恶意程序并执行.
创建注册表:
Key: HKEY_CLASSES_ROOTCLSID{AE27505C-C46F-4eb2-9A17-5D1E1F46BC09}InprocServer32
Value: ""
Data: "%systemroot%system32msosiocp.dll"
Key: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
Value: "{AE27505C-C46F-4eb2-9A17-5D1E1F46BC09}"
Data: ""
释放驱动文件,通过重定位内核文件恢复SSDT表.
后台下载恶意软件,创建注册表启动项.
病毒判断当前的操作系统是否 2000、XP或2003,如果不是则不释放驱动文件.
病毒读取自身资源,在 %Temp% 文件夹下释放临时文件,把资源数据写入.(驱动文件)
调用 NtQuerySystemInformation 获得内核文件的名称后,调用相关API加载内核文件得到 KeServiceDescriptorTable 的RVA,然后分析内核文件的重定位表中对此RVA的引用,获取SSDT及系统函数的原始地址.
创建服务名为"winsync32"的系统服务,服务路径指向释放在 %Temp% 文件夹下的临时文件.(驱动文件)
病毒自身提权,把自身复制至 %systemroot%system32msosiocp.dll.
枚举进程,把 %systemroot%system32msosiocp.dll 注入至 explorer.exe 的进程空间.
从后台下载 http:/ /c.1**dm.com/okok.txt 保存至 %Temp% 下,获取其内容下载恶意程序并执行.
创建注册表:
Key: HKEY_CLASSES_ROOTCLSID{AE27505C-C46F-4eb2-9A17-5D1E1F46BC09}InprocServer32
Value: ""
Data: "%systemroot%system32msosiocp.dll"
Key: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
Value: "{AE27505C-C46F-4eb2-9A17-5D1E1F46BC09}"
Data: ""
回复
评论病毒
