金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1.生成隐藏文件: C:Program FilesNetMeetingsvchost.exe 2.修改注册表, HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPowerShadow Type dword:00000110
行为分析:
这个是一个蠕虫型下载器。它采用了类似灰鸽子的部分代码,会通过局域网和AUTO技术进行传播,下载其它病毒程序到中毒电脑中运行。
: 金山毒霸
: 金山毒霸
影响系统:
Win9x,WinMe,Linux
简介:
1.生成隐藏文件: C:Program FilesNetMeetingsvchost.exe 2.修改注册表, HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPowerShadow Type dword:00000110
行为分析:
这个是一个蠕虫型下载器。它采用了类似灰鸽子的部分代码,会通过局域网和AUTO技术进行传播,下载其它病毒程序到中毒电脑中运行。
描述:
1.生成隐藏文件:
C:Program FilesNetMeetingsvchost.exe
2.修改注册表,
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPowerShadow Type dword:00000110
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPowerShadow Start dword:00000002
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPowerShadow ErrorControl dword:00000000
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPowerShadow ImagePath hex(2):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,73,5c,4e,65,74,4d,65,65,74,69,6e,67,5c,73,76,63,68,6f,73,74,2e,65,78,65,00,
3.该病毒运行后首先是检查运行状态:检测自己的路径是否是C:Program FilesNetMeetingsvchost.exe,如不是则进行复制自己等
初始化操作,反之则以服务方式运行。
4、注册为服务运行:病毒通过调用StartServiceCtrlDispatcher、CreateServiceA等函数,注册名称为PowerShadow、目标为
C:Program FilesNetMeetingsvchost.exe的服务,然后调用StartServiceA启动服务。
5、病毒启动多个线程尝试进行网络传播和下载。病毒根据标志决定是否对本地固定逻辑盘建立AutoRun。
6、在固定磁盘中建立AutoRun实现自启动:
病毒复制自己到该逻辑盘根目录下,名称为setup.exe,并生成AutoRun.inf文件以达到自动运行,病毒将setup.exe和
AutoRun.inf的文件属性设置为系统和隐藏。
7、窗口消息处理:
病毒每隔1秒调用破坏反病毒软件和复制自己的代码,每隔20分钟尝试下载http://www. XXXXX.cn/jj/svch0st.exe到
本地并运行。病毒还会得到新插入的可移动设备,并对该设备进行感染。
8、破坏反病毒软件和复写文件:
病毒获取当前光标下的窗口及其顶层父窗口,检测其窗口标题中是否是或包含如下内容:Windows 任务管理器、安全卫士、
扫描、专杀、注册表、Process、进程、木马、防御、防火墙、病毒、检测、Firewall、virus、anti、金山、江民、卡巴斯基、
worm、杀毒等,如果包含这些内容,病毒通过向其发送WM_DESTROY、WM_CLOSE消息来破坏这些窗口,以此来破坏反病毒软件的
运行。
9.病毒通过处理WM_TIMER消息,每隔1秒复制自己并复写注册表,以保护自己
10. 病毒获取当前网段并将最后一个字段替换为%s2-%s255,然后启动ArpW.exe。
11.病毒每隔30分钟循环执行如下代码感染网络:
(1)感染局域网计算机。病毒获取本机ip后以此遍历局域网,通过自带的用户名和密码字典尝试将psexec.exe和server.exe写入局域网
中其它计算机中,然后以如下命令行启动psexec.exe
(3)感染当前连接的计算机。病毒获取当前连接的计算机的ip地址,然后利用用户名和密码字典尝试对该ip地址的计算机
写入psexec.exe和server.exe并启动运行。
用户名和密码字典如下:
用户名:administrator、admin、guest、alex、home、love、user、game、movie、time、yeah、money、xpuser
密码:NULL、password、123456、qwerty、abc123、memory、12345678、88888、5201314、1314520、asdfgh、angel、asdf、baby、woaini
12.病毒遍历c到z的逻辑盘,对所有目录进行感染,但排除保护如下字符串的目录:
Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、ComPlus Applications;Messenger、WINNT、
Documents and Settings、System Volume Information、Recycled、Windows NT、WindowsUpdate、Messenger、
Microsoft Frontpage、Movie Maker、WINDOWS。
病毒只感染后缀名为exe的可执行文件,感染时病毒在被感染文件的代码节的最后的内容为0的地方写入病毒代码,
并将pe头中入口点改为指向病毒代码。
1.生成隐藏文件:
C:Program FilesNetMeetingsvchost.exe
2.修改注册表,
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPowerShadow Type dword:00000110
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPowerShadow Start dword:00000002
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPowerShadow ErrorControl dword:00000000
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPowerShadow ImagePath hex(2):43,3a,5c,50,72,6f,67,72,61,6d,20,46,69,6c,65,73,5c,4e,65,74,4d,65,65,74,69,6e,67,5c,73,76,63,68,6f,73,74,2e,65,78,65,00,
3.该病毒运行后首先是检查运行状态:检测自己的路径是否是C:Program FilesNetMeetingsvchost.exe,如不是则进行复制自己等
初始化操作,反之则以服务方式运行。
4、注册为服务运行:病毒通过调用StartServiceCtrlDispatcher、CreateServiceA等函数,注册名称为PowerShadow、目标为
C:Program FilesNetMeetingsvchost.exe的服务,然后调用StartServiceA启动服务。
5、病毒启动多个线程尝试进行网络传播和下载。病毒根据标志决定是否对本地固定逻辑盘建立AutoRun。
6、在固定磁盘中建立AutoRun实现自启动:
病毒复制自己到该逻辑盘根目录下,名称为setup.exe,并生成AutoRun.inf文件以达到自动运行,病毒将setup.exe和
AutoRun.inf的文件属性设置为系统和隐藏。
7、窗口消息处理:
病毒每隔1秒调用破坏反病毒软件和复制自己的代码,每隔20分钟尝试下载http://www. XXXXX.cn/jj/svch0st.exe到
本地并运行。病毒还会得到新插入的可移动设备,并对该设备进行感染。
8、破坏反病毒软件和复写文件:
病毒获取当前光标下的窗口及其顶层父窗口,检测其窗口标题中是否是或包含如下内容:Windows 任务管理器、安全卫士、
扫描、专杀、注册表、Process、进程、木马、防御、防火墙、病毒、检测、Firewall、virus、anti、金山、江民、卡巴斯基、
worm、杀毒等,如果包含这些内容,病毒通过向其发送WM_DESTROY、WM_CLOSE消息来破坏这些窗口,以此来破坏反病毒软件的
运行。
9.病毒通过处理WM_TIMER消息,每隔1秒复制自己并复写注册表,以保护自己
10. 病毒获取当前网段并将最后一个字段替换为%s2-%s255,然后启动ArpW.exe。
11.病毒每隔30分钟循环执行如下代码感染网络:
(1)感染局域网计算机。病毒获取本机ip后以此遍历局域网,通过自带的用户名和密码字典尝试将psexec.exe和server.exe写入局域网
中其它计算机中,然后以如下命令行启动psexec.exe
(3)感染当前连接的计算机。病毒获取当前连接的计算机的ip地址,然后利用用户名和密码字典尝试对该ip地址的计算机
写入psexec.exe和server.exe并启动运行。
用户名和密码字典如下:
用户名:administrator、admin、guest、alex、home、love、user、game、movie、time、yeah、money、xpuser
密码:NULL、password、123456、qwerty、abc123、memory、12345678、88888、5201314、1314520、asdfgh、angel、asdf、baby、woaini
12.病毒遍历c到z的逻辑盘,对所有目录进行感染,但排除保护如下字符串的目录:
Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、ComPlus Applications;Messenger、WINNT、
Documents and Settings、System Volume Information、Recycled、Windows NT、WindowsUpdate、Messenger、
Microsoft Frontpage、Movie Maker、WINDOWS。
病毒只感染后缀名为exe的可执行文件,感染时病毒在被感染文件的代码节的最后的内容为0的地方写入病毒代码,
并将pe头中入口点改为指向病毒代码。
回复
评论病毒
