2.18-3.2感染量上升最快的10大病毒分析及解决方案
爱毒霸社区提醒您注意,近期肆虐的病毒木马中,排名靠前,对用户产生重大影响的,多数是木马或木马下载器。对付这类病毒,通常需要综合运用毒霸和金山清理专家,因为病毒自身变化多端,杀毒软件不能保证检测到所有变种。某些情况下,您可能需要充分使用金山清理专家来处理。
具体请查看:
关于清理专家反复报告发现某恶意软件的处理办法
论坛的
新手杀毒专区提供了对新会员最有价值的帮助信息,建议您阅读这里的帮助文档尝试自助解决。
近期机器狗病毒、AV终结者病毒、磁碟机病毒混合入侵的情况较多,从我们统计的结果看机器狗病毒的感染量明显上升,成为近2周内上升最快的病毒。
1.机器狗变种Win32.Troj.Agent.dz.11636
病毒名称(中文):机器狗变种11636
病毒别名:机器狗,IGM
威胁级别:★★☆☆☆
病毒类型:木马下载器
病毒长度:11636
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个可以穿透还原软件的病毒。病毒通过直接读写文件簇来绕过一些文件过滤系统的监视,病毒会释放一个驱动来实现还原软件的穿透,并修改系统文件USERINIT.EXE,中毒后每次开机就会下载大量木马到本地运行。
该病毒就解除还原系统的保护,使冰点、硬盘保护卡实效。接着,该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞,从http: //xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等恶意网址下载多款网游木马,盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码,严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用,因此网吧成为该病毒发作的重灾区。
一、病毒运行后,病毒会释放一个驱动文件pcihdd.sys 到 %system32%drivers\ 下,并创建服务加载它,加载完毕后就将其删除.
二、病毒通过读 \\.\PhysicalDrive0 (注,和\\.\PhysicalHardDisk0 区别开来)来获取MBR的信息,并根据MBR信息来判断第一分区是否为启动分区且分区类型为病毒所支持的,若不是则不继续破坏,目前该病毒支持 FAT32,FAT32 LBA,NTFS 三种分区格式.
三、病毒利用pcihdd.sys创建了\Device\PhysicalHardDisk0及其符号连接\\.\PhysicalHardDisk0来对病毒提供解密,破解还原软件等功能. 并只处理 :
IRP_MJ_CREATE,IRP_MJ_CLOSE,IRP_MJ_DEVICE_CONTROL.
四、病毒感染%system32%Userinit.exe 流程如下:
1. 病毒首先打开 \\.\PhysicalHardDisk0 ,这时驱动便找到硬盘的驱动设备\Device\Harddisk0\DR0(实际就是\\.\PhysicalDrive0 所指向的设备), 并判断是否有被冰点之类还原软件的设备所挂接,若有则解除还原软件的挂接,是还原类软件对\\.\PhysicalDrive0 拦截失效.
2.然后打开 Userinit.exe,并利用FSCTL_GET_RETRIEVAL_POINTERS 来获取文件数据的分布信息, 再将控制码0xF0003C04 发送给 \\.\PhysicalHardDisk0 来获取解密的资源数据.
3.最后,通过 \\.\PhysicalDrive0 将获取的解密数据写入到 Userinit.exe的第一簇. 由于病毒是直接修改文件簇的, 所以感染后的Userinit.exe 大小和属性等信息是不变,唯一不同的是文件内容及版本信息.
五、被修改后的Userinit.exe :
1. 查询SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Shell键值
2. 创建Shell进程
3. 等待网络链接,当网络链接畅通后,则从http://yu.8s7.net/cert.cer下载病毒列表
4. 对于列表中的文件每个文件,创建一个新线程下载并执行,线程计数加 1
5. 等待所有线程结束后(线程计数为0)结束进程.
威胁级别: ★☆☆☆☆
病毒类型: 木马程序
病毒长度: 73770
影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个盗号木马。病毒运行后,将自身复制至SendTo文件夹,并释放病毒文件,并通过修改注册表达到自启动。该病毒会盗取网络游戏天堂的用户信息,包括帐号、密码等。
1.生成文件
%profile%@\SendTo\Winfzgd.EXE
%profile%@\SendTo\Winfzgd.hlp
2.生成注册表项
HKEY_CURRENT_USER\Software\Nexon\Kingdom of the Winds DialogPos13
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run BianFeng "%profile%\SendTo\Winfzgd.EXE"
3.通过注入进程的方式盗取网络游戏天堂用户信息,然后发送至以下网址:
hxxp://www.gamexxxx.com/fzgd/updata.asp?fwq=%s&user=%s&password=%s&ckpass=%s
病毒名称(中文): 网游窃贼131072
威胁级别: ★☆☆☆☆
病毒类型: 偷密码的木马
病毒长度: 131072
影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个网络游戏盗号木马变种。病毒运行后会复制自身至系统文件夹,注入桌面进程,查找查找《浩方游戏平台》、《剑侠情缘2》、《热血江湖》、《完美世界》等网络游戏的进程,如果存在则通过读写内存的方式盗取用户游戏帐号、密码、所在服务器等信息,然后将盗取信息发送至远程服务器。
1.生成文件
%windir%\cmdbcs.exe
%sys32dir%\cmdbcs.dll
2.生成注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run cmdbcs "%windir%\cmdbcs.exe"
3.注入桌面进程,查找浩方游戏平台“gameclient.exe”、剑侠情缘2“SO2Game.exe”、热血江湖“client.exe”等游戏进程
是否存在,如果存在则通过读写内存的方式盗取用户游戏帐号、密码、所在服务器等信息
4.查找网络游戏完美世界“ElementClient Window”、“ZElementClient Window”窗口是否存在,如果存在则通过读写内存的方式盗取用户游戏帐号、密码、所在服务器等信息
5.将盗取的网络游戏帐号、密码、所在服务器等信息发送至以下网址
hxxp://j**.s****jj.com/cchh/lin.asp?s=%s&u=%s&p=%s&r=%s&l=%d&il=%s&sl=%s
hxxp://j**.s****jj.com/cchh/lin.asp?a=%s&s=%s&u=%s&p=%s&ks=sbe0&sp=%s&r=%s
病毒名称(中文):网游盗窃者18668
威胁级别:★☆☆☆☆
病毒类型:偷密码的木马
病毒长度:18668
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个盗号木马.盗取网络游戏《征途》《惊天动地》《武林外传》帐号与密码等相关信息。
1、病毒生成的文件:
%Temp%\upxdnd.exe
%Temp%\upxdnd.dll
2、病毒添加的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
upxdnd = "C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe"
3、发送的指定接收地址
http://22**6.cn/zz**23/lin.asp?srv=&id=&p=&s=&ss=&js=&gj=&dj=0&yz=0
4、病毒运行之后会删除自身
5、关闭杀毒软件警告窗口
AVP.AlertDialog
AVP.Product_Notification
瑞星注册表监控提示
病毒名称(中文):伪装下载者73939
威胁级别:★☆☆☆☆
病毒类型:木马下载器
病毒长度:73939
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
该病毒是一个木马下载者,病毒运行后会衍生病毒文件至系统目录下,并修改注册表增加启动项,还会创建一个伪系统进程,通过网络下载其他的木马文件至本机并执行。
1.添加文件
C:\Program Files\Internet Explorer\svchost.exe
2.修改注册表增加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run svchost.exe "C:\Program Files\Internet Explorer\svchost.exe"
3.创建伪系统进程svchost.exe.
4.该病毒会从以下的地址当中下载其他的木马文件:
http://www.*****gf.com/0.exe
http://www.*****gf.com/3.exe
http://www.*****gf.com/5.exe
http://www.*****gf.com/7.exe
http://www.*****gf.com/9.exe
病毒名称(中文):AV终结者变种139497
威胁级别:★★☆☆☆
病毒类型:木马下载器
病毒长度:139497
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个AV终结者变种病毒。它会劫持大部分安全软件,破坏安全模式,禁用windows防火墙、帮助中心、自动更新等项目,还会释放出传染性极高的Auto病毒。
1.病毒运行后,产生以下病毒文件
\Program Files\meex.exe
\Program Files\Common Files\Microsoft Shared\mhlclyg.inf
\Program Files\Common Files\Microsoft Shared\xnxlufi.exe
\Program Files\Common Files\System\mhlclyg.inf
\Program Files\Common Files\System\yyjnldu.exe
以上文件名根据病毒的实际数据会有所变化。
2.原始病毒程序释放副本之后,会删除自身。
3.在注册表中添加键值,让病毒副本随系统自动启动。
4.劫持大部分安全软件,以保护自身。禁用的安全软件有:360安全卫士,金山清理专家,windows优化大师,Ghost软件,
TinyFirwall, 超级巡警, SREng等。
5.破坏安全模式,让中毒者无法进入windows模式。
6.禁用windows防火墙,帮助中心,自动更新。
7.遍历D:到Z:, 向这些分区上释放autorun病毒副本和autorun.inf文件。当用户双击或选择右键菜单中的打开菜单项时运行病毒。
本样本的文件名为nhbivui.exe。
8. 从网上下载其他病毒文件到本地,并运行这些下载的病毒文件。
9. 修改注册表,使中毒者无法显示隐藏文件和系统文件。
威胁级别:★☆☆☆☆
病毒类型:木马程序
病毒长度:15173
影响系统:WinNT Win2000 WinXP
病毒行为:
引用:
病毒把本身复制到 %SystemRoot%\system32\dllcache\svchost.exe 覆盖原来的 svchost.exe 。
创建系统服务使病毒自身能达到开机自动运行。
结束以下进程:
KASMain.exe
kpfwsvc.exek
添加文件:
%SystemRoot%\system32\dllcache\svchost.exe
%SystemRoot%\system32\dllcache\1028\svchost.exe
%SystemDrive%\auto.exe
添加注册表:
键名:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\svchost
键名:HKEY_CURRENT_USER\System\CurrentControlSet\Services\svchost
威胁级别:★★☆☆☆
病毒类型:木马程序
病毒长度:70754
影响系统:WinNT Win2000 WinXP Win2003
病毒行为:
引用:
该病毒运行后复制自身至系统文件夹,然后创建批处理删除自身,并通过伪装winamp播放器进程运行。病毒打开用户计算机后门,允许远程攻击者控制用户计算机,包括收集、下载、盗取用户信息,对用户的电脑系统及个人网络财产的安全构成严重威胁。同时该病毒会生成一个局域网IP地址,并利用系统漏洞及自身的密码字典,尝试破解弱密码,来进行恶意攻击和传播。
另外,该病毒还具有盗取网络游戏”魔兽世界“和”Unreal3“等CD-Keys的功能。
1.复制自身至
%sys32dir%\winamp.exe
然后用批处理删除自身
2.启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Winamp Agent "%sys32dir%\winamp.exe"
3.盗取以下软件用户信息(帐号、密码、CD-Keys):
FlashFXP
internet explorer
OutlookExpress
MSN Explorer
UnrealIRCD
Steam
World Of Warcraft
Conquer Online
4.复制自身至 IPC$ 共享:
IPC$
print$
C$\Documents and Settings\All Users\Documents\$
admin$
Admin$\system32
c$\windows\system32
c$\winnt\system32
c$\windows
c$\winnt
e$\shared
d$\shared
c$\shared
并利用弱密码攻击以获取权限:
5.打开系统后门,允许远程攻击者控制用户计算机,包括:
收集系统信息
扫描局域网机器并传播
下载和运行指定程序
运行http/ftp服务
升级病毒文件
盗取软件密码
6.尝试利用以下漏洞,及自身的弱密码攻击网络共享和SQL服务器:
SMB(MS03-024)
SRVSVC(MS06-040)
RPC-DOM(MS06-012)
病毒名称(中文):寄生虫下载器57347
威胁级别:★☆☆☆☆
病毒类型:木马下载器
病毒长度:57349
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
引用:
这是一个感染型病毒。它运行后,会尝试关闭部分杀毒软件,并遍历硬盘和网络共享进行感染,同时还尝试连接网络下载其他病毒。
1.病毒运行后,释放感染源到系统临时目录,并加载运行,遍历磁盘和网络共享盘寻找exe文件进行感染。
2.连接网络下载其他病毒。
3.关闭部分安全软件:kav.exe|kv.exe|avp.exe|rav.exe|KVSrvXP.exe|KVSrvXP_1.exe|Mcshiel
4.创建名为ntapisvc,描述为Windows api Security Center的系统服务。
威胁级别:★☆☆☆☆
病毒类型:木马下载器
病毒长度:81920
影响系统:WinNT Win2000 WinXP
病毒行为:
引用:
这是一个下载者病毒,病毒会把客户计算机里的安全软件警告都关闭掉,使客户计算机里的安全软件失去作用.病毒在客户计算机上的每个盘下生成 AutoRun.inf 和 Dser.exe 文件.病毒会读取木马种植者指定的其它木马下载地址并下载保存到客户计算机上运行.
病毒成功在客户计算机上运行后把自身复制到客户计算机的 %SystemRoot%\system32\ 文件夹下.
病毒会注册表服务项以达到开机自启动的作用.
病毒通过查找窗口的方法关闭安全软件的警告窗口,如发现客户计算机上安装了指定的杀软,会修改系统时间导致杀软失效.
病毒生成的文件:
%SystemRoot%\system32\Dser.exe
病毒添加的注册表项:
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown
ImagePath:"%SystemRoot%\system32\Dser.exe"
病毒会从以下指定的木马下载地址下载木马程序至客户计算机:
hxxp://www.**ba*ba*mm.**.cn/123.exe
hxxp://www.**ba*ba*mm.**.cn/124.exe
hxxp://www.**ba*ba*mm.**.cn/125.exe
hxxp://www.**ba*ba*mm.**.cn/126.exe
hxxp://www.**ba*ba*mm.**.cn/127.exe
hxxp://www.**ba*ba*mm.**.cn/128.exe
1.局域网的用户要注意ARP攻击强行下载盗号木马,可以安装金山ARP防火墙来防范
参考:
金山ARP防火墙功能简介及1.2正式版下载
2.对于木马下载器,本身可以升级更新,下载的木马可以定向投放,也一样可以随时更新。不能保证杀毒软件可以查杀该下载器相关的所有病毒木马,毒霸2008的用户可以将毒霸和清理专家结合使用。
先用毒霸查杀病毒,同时,再用清理专家清除恶意软件。
通常,这两招用完后,可以将大部分下载的木马搞定,包括木马破坏的注册表键。重启电脑之后,如果发现清理专家或毒霸仍有报告。就说明,还有下载器本身,或某个变种未解决。
这时,建议使用清理专家的在线系统诊断功能,注意在联网的情况下,对未知的加载项进行操作。可以将某些加载项禁用(对自己不清楚的,不推荐使用修复,以免误操作)。
有关清理专家的使用,参考:
金山毒霸2008系列教程——清理专家功能篇
关于清理专家反复报告发现某恶意软件的处理办法
3.部分病毒或木马破坏了系统文件,目前发现多例病毒会破坏userinit.exe和explorer.exe,这两个关键的系统文件被破坏会导致windows登录故障。但都可以从%system32%\dllcache中恢复,只需要从这里把备份的同名文件COPY到%system32%目录就可以了。
有关userinit.exe和explorer.exe的修复,可参考:
userinit.exe异常的全面解决方案
4.爱毒霸社区提供最常用安全工具下载,并同时提供相应工具的使用说明
详情请点击:
爱毒霸社区下载中心(您最需要的安全工具集)
