金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
感染C:WINDOWSsystem32 spoolsv.exe文件,并穿还原保护,结束安全软件进程,修改系统时间,在每个驱动器下复制autorun.inf和其对应的病毒文件,感染全盘网
行为分析:
这是一个感染型的下载器。它能够穿透系统的还原保护,破坏安全软件的正常运行。还会利用AUTO技术进行传播。
:
影响系统:
Win9x,WinMe,Linux
简介:
感染C:WINDOWSsystem32 spoolsv.exe文件,并穿还原保护,结束安全软件进程,修改系统时间,在每个驱动器下复制autorun.inf和其对应的病毒文件,感染全盘网
行为分析:
这是一个感染型的下载器。它能够穿透系统的还原保护,破坏安全软件的正常运行。还会利用AUTO技术进行传播。
描述:
感染C:WINDOWSsystem32 spoolsv.exe文件,并穿还原保护,结束安全软件进程,修改系统时间,在每个驱动器下复制autorun.inf和其对应的病毒文件,感染全盘网页文件,下载大量病毒。
1. 查找进程smss.exe是否存在,不存在退出。
2. 判断自身是不是驱动器打开,是则ShellExecuteA open 盘符: 打开
3. 删除"C:WINDOWSTasks�x01xx8p.exe"将自身movefile到"C:WINDOWSTasks�x01xx8p.exe"。
4. 判断进程中有没有avp.exe 有了修改系统时间为2004年1月1号。
5. 提升自身为SeDebugPrivilege权限,TerminateProcess 结束avp.exe kvsrvxp.exe kissvc.exe
6. 将"C:WINDOWSsystem32dllcachespoolsv.exe"拷贝到C:WINDOWSsystem32spoolsv.exe ,将 C:WINDOWSsystem32spoolsv.exe复制到C:WINDOWSTasks spoolsv.ext和SysFile.brk。
7. 判断spoolsv.exe最后一个节是不是".WYCao",是的退出感染,不是则覆盖spoolsv.exe的最后一个节。
8. 调用sfc.dll的模块.#5地址,.#5的意思是这个模块的导出函数序号,这个函数就是操作文件保护的。
9. 删除C:WINDOWSsystem32spoolsv.exe,将C:WINDOWSTasksspoolsv.ext MoveFile到C:WINDOWSsystem32spoolsv.exe,删除C:WINDOWSTasks spoolsv.ext。
10. 搜索进程中有没有"explorer1.exe",存在将自身WriteProcessMemory写入该进程。
11. 下载http://w.XXXXX.cn/config.txt到%windir%system32config.txt,复制到windows.txt。
12. 搜索非windows和Program Files目录下的所有.do .htm .html .shtm .shtml .asp .aspx .php .jsp .cgi .xml 将插入。搜索到.gho文件删除。
13. 下载病毒列表中的病毒,下载到system32下,并运行。
14. 先删除每个驱动器下的autorun.inf,给每个驱动器下创建autorun.inf和病毒自身母体MSDOS.bat。
15. 当SendGet不为空时,发送用户的计算机名到网络接收端。
16. 释放资源中的驱动到C:zzz.sys,并创建服务zzz,用sc来加载启动。
17. 先创建设备.c: 然后DeviceIoControl 成功创建\.yyy2设备,将修改后的C:WINDOWSsystem32spoolsv.exe复制到\.yyy2windowssystem32spoolsv.exe,删除服务,删除C:zzz.sys。
18. 感染spoolsv.exe后的现创建病毒自身c:WINDOWSwindows.ext,并运行,调到spoolsv.exe程序入口点。
感染C:WINDOWSsystem32 spoolsv.exe文件,并穿还原保护,结束安全软件进程,修改系统时间,在每个驱动器下复制autorun.inf和其对应的病毒文件,感染全盘网页文件,下载大量病毒。
1. 查找进程smss.exe是否存在,不存在退出。
2. 判断自身是不是驱动器打开,是则ShellExecuteA open 盘符: 打开
3. 删除"C:WINDOWSTasks�x01xx8p.exe"将自身movefile到"C:WINDOWSTasks�x01xx8p.exe"。
4. 判断进程中有没有avp.exe 有了修改系统时间为2004年1月1号。
5. 提升自身为SeDebugPrivilege权限,TerminateProcess 结束avp.exe kvsrvxp.exe kissvc.exe
6. 将"C:WINDOWSsystem32dllcachespoolsv.exe"拷贝到C:WINDOWSsystem32spoolsv.exe ,将 C:WINDOWSsystem32spoolsv.exe复制到C:WINDOWSTasks spoolsv.ext和SysFile.brk。
7. 判断spoolsv.exe最后一个节是不是".WYCao",是的退出感染,不是则覆盖spoolsv.exe的最后一个节。
8. 调用sfc.dll的模块.#5地址,.#5的意思是这个模块的导出函数序号,这个函数就是操作文件保护的。
9. 删除C:WINDOWSsystem32spoolsv.exe,将C:WINDOWSTasksspoolsv.ext MoveFile到C:WINDOWSsystem32spoolsv.exe,删除C:WINDOWSTasks spoolsv.ext。
10. 搜索进程中有没有"explorer1.exe",存在将自身WriteProcessMemory写入该进程。
11. 下载http://w.XXXXX.cn/config.txt到%windir%system32config.txt,复制到windows.txt。
12. 搜索非windows和Program Files目录下的所有.do .htm .html .shtm .shtml .asp .aspx .php .jsp .cgi .xml 将插入。搜索到.gho文件删除。
13. 下载病毒列表中的病毒,下载到system32下,并运行。
14. 先删除每个驱动器下的autorun.inf,给每个驱动器下创建autorun.inf和病毒自身母体MSDOS.bat。
15. 当SendGet不为空时,发送用户的计算机名到网络接收端。
16. 释放资源中的驱动到C:zzz.sys,并创建服务zzz,用sc来加载启动。
17. 先创建设备.c: 然后DeviceIoControl 成功创建\.yyy2设备,将修改后的C:WINDOWSsystem32spoolsv.exe复制到\.yyy2windowssystem32spoolsv.exe,删除服务,删除C:zzz.sys。
18. 感染spoolsv.exe后的现创建病毒自身c:WINDOWSwindows.ext,并运行,调到spoolsv.exe程序入口点。
回复
评论病毒
