利用FLASH漏洞传播的对抗型“特务病毒”出现

从上周开始，利用 FLASH漏洞进行传播的木马下载器逐渐流行，与此同时，毒霸客服部门接到多起用户反映，称其安装的毒霸出现无法升级、毒霸图标变灰、查杀功能失效等症状，造成毒霸处于瘫痪状态，并且一些安装有网游的用户，发现自己的帐号丢失。

根据用户所反映的种种情况，反病毒工程师们判断又有针对毒霸的对抗型病毒诞生，并且它正是在FLASH漏洞下载器的帮助下大肆传播。可是当工程师们按照常规的处理方式进行处理时，却在系统中找不到任何病毒文件！

整件事十分诡异，没有发现病毒文件，但是用户系统中的毒霸却无法启动，并且游戏帐号也丢失了。这是不符合常理的。在排除毒霸本身BUG后，工程师们加强搜索力度，终于在受害电脑上发现了蛛丝马迹，并利用一系列网络技术捕获到了病毒样本。

这是个新的对抗型病毒，并且病毒经过复杂的加密处理，试图阻止反病毒工作者的破解。在经过整整一天的分析后，工程师们终于摸清了这个病毒的作案手段。最终的分析报告令人吃惊。

这个病毒的主文件名为NTDUBECT.Exe，咋一看会让人想起3月份时流行过的机器狗，但它的作案原理却与机器狗完全不同，是一个全新的病毒。

当病毒的原始文件Orz.exe在FLASH漏洞下载器的帮助下进入电脑后，NTDUBECT.Exe就会被释放到当前磁盘分区的根目录。它首先会尝试修改系统时间为2000年，以检测当前系统中是否有装有卡巴斯基7.0版，若有，病毒便停止运行。

如果成功修改了系统时间，就表明用户系统中所安装的卡巴斯基是旧版本，而随着时间的修改，这些版本的卡巴自然也就会瘫痪。当这个步骤顺利完成，或者用户没有安装卡巴，病毒就会修改注册表、禁用系统安全中心和windows 防火墙、禁用系统还原等系统自身的安全模块。

接着，病毒利用自己的另一个文件antir.Exe和驱动文件antir.Sys，检测系统中是否有金山毒霸和瑞星的文件。如有，就查询金山毒霸和瑞星主要文件的相关键值，从而得到它们的安装路径，然后释放出与它们主要文件相同名称的文件，进行替换。

“过去发现的一些对抗型病毒，它们基本上是直接删除杀毒软件的文件，而这个病毒却采取的是替换文件。”如果直接删除杀软的文件，那么当用户发现系统异常时，就很容易认识到是中了病毒，迅速求助。而如果是替换杀软文件，则大部分用户会以为是杀软出了BUG，导致系统异常，“用户从尝试自行修复到修复失败，再到联系毒霸客服询问，需要花不少时间，这些时间足够病毒干完它想干的事。”

病毒小心翼翼的继续执行着病毒作者安排好的动作。为了保险起见，它再次检测是否存在卡巴斯基的进程，若存在，就调用函数静音，让电脑静音，等将系统年份修改为2000 年后，再打开声音。同时，它再次禁用系统安全中心、windows 防火墙、系统还原等功能。在这个环节的工作中，它会顺便检测电脑里是否安装了安全辅助软件360安全卫士。若有，就结束其进程。然后，病毒会再次检测系统中是否有金山毒霸和瑞星的文件。

“干掉国内占有市场最多的安全软件，很明显，这个病毒就是针对中国用户的。”

当确信解决掉用户系统中的以上杀毒软件和安全辅助软件，此毒就在系统临时目录%temp%\中释放出文件setup.Exe 并执行。这个文件是一个木马下载器，它会在后台悄悄连接病毒作者指定的远程地址，下载大量盗号木马运行。

当下载工作完成，病毒就会调用自己的配置信息，恢复原来的时间。并根据配置信息的不同，决定是否对系统中的EXE文件建立映像劫持。最后，无论运行是否成功，病毒都会执行自动删除指令，把自己的原始文件、主文件、驱动文件等删除，除了那个下载器模块外，电脑中不会留下它的一丝痕迹。

这个病毒之所以受到重视，并不在于它能够对抗杀毒软件。自从AV终结者之后，几乎所有的木马下载器都会想方设法对抗杀毒软件，这一点毫无新鲜性可言。毒霸反病毒工程师们所关心的是，病毒逃避查杀的方式有了突破，“这个病毒已经不仅仅是删除原始文件，而是彻底抹消自己的痕迹。”在过去，那些拥有自我删除功能的病毒只不过是删除原始文件，而无法删除后期释放出的文件，但这个新病毒做到了这点。这意味着，以后用户即便遭受了病毒的攻击，也无法追查凶手。

“作案期间迷惑用户，使得用户在系统异常时不会认为是中毒，作案结束后又完全销毁证据，这些都充分表明病毒的犯罪过程已经越来越隐蔽，就像一个特务。”

Flash特务（Orz病毒）分析报告

一.行为概述

1.关闭毒霸、瑞星等安全软件的进程、并将安全软件的主要程序程序替换为无效的文件。
2.禁用系统安全中心、windows防火墙、系统还原。
3.结束360的进程、删除其进程文件。并修改360的设置，使360的保护失效。
4.释放木马下载者病毒。
5.删除病毒运行过程中生成的所有文件（不含释放的木马下载者）。注：此项可配置，若不设置，病毒会释放副本C:\Progra~1\Realtek\APPath\RTHDCPL.exe，并为之创建启动项：HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\Soundman。

二.Orz.exe

1.将本进程文件移动到同盘的根目录，且重命名为x:\NTDUBECT.exe
2.根据查找是否有avp.exe进程、是否可以修改系统时间来检测当前系统中是否有装有卡巴斯基，若有，程序返回。
3.禁用系统安全中心、windows防火墙、系统还原。
4.设置HKLM\software\360safe\safemon子键下的ExecAccess,SiteAccess,MonAccess,VDiskAccess,ARPAccess,IEProtAccess为0.
检测当前系统中是否有360tray.exe、360safe.exe，若有，结束进程、删除进程文件。
5.检测系统中是否有ravmond.exe、kwatch.exe、kasmain.exe。若有：
    1)将进程资源RCDATA/"ANTIR"释放到%temp%\ANTIR.exe。
    2)将进程资源RCDATA/"KNLPS"释放到%temp%\ANTIR.sys。
    3)生成批处理脚本%temp%\tmp.bat，并使用WinExec("tmp.bat",SW_HIDE)执行脚本关闭安全软件的监控进程、删除自身的文件。
    4)查询HKLM\SOFTWARE\rising\Rav\installpath键值，得到瑞星的安装路径。将进程资源RCDATA/"SYSFILE"的内容释放为与瑞星的文件同路径的文件，以替换瑞星的程序文件。
    列表如下：
    \Scanner.dll,\Update\Scanner.dll,\SmartUp.exe,\update\SmartUp.exe,\RavMonD.exe,\Update\RavmonD.exe,
    5)查询HKLM\SOFTWARE\Kingsoft\AntiVirus\ProgramPath键值，得到毒霸安装路径，替换
    \update\bin\kpfwsvc.exe,\kpfwsvc.exe,\kasmain.exe,\update\bin\kasmain.exe,\uplive.exe,\update\bin\uplive.exe，   \kwatch.exe,\update\bin\kwatch.exe,\kissvc.exe,\update\bin\kissvc.exe
    6)替换safeboxTray.exe
    7)创建启动项:
    HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\Soundman        "C:\Progra~1\Realtek\APPath\RTHDCPL.exe"

6.检测是否存在avp.exe进程，若存在就将声卡静音，同时修改年份为2000年，令卡巴自动关闭。

7.建立映像劫持，此项可由配置信息控制，令很多安全软件不能运行。

8.若生成了NTDUBECT.exe,调用命令行"cmd /c del"删除之。

三.该病毒生成的其它程序文件分析省略。

那是不是说卡巴7.0免疫这种病毒呢？

又是一种非常厉害的病毒，连毒霸工程师分析都要这么久，应该是比较厉害的病毒吧，不过我没见过这种病毒

病毒越来越多

这个病毒真的是非常厉害,几乎所有的厉害之处都有了!

虽然这个是反病毒论坛,但我还是说一下,中的是用户感觉不到的病毒那才是最厉害的!

看来正义与邪恶的战争到处都存在，人类啊，这就意味着进步？！。。。

这个病毒制作者的智商至少180！

呵呵 很厉害么 也就是说的那删除自身新颖点

病毒强了

很明显是卡巴公司的人干的！没有硝烟的入侵战争！

顶一个

KIS7.0 直接查ORZ.EXE都查不到是病毒。不过倒是可以直接删