“自动运行变种J”病毒技术细节

　　这是一个蠕虫病毒.利用Upack加壳程序进行保护. 病毒运行后,先利用GetCommandLine获得病毒运行时的参数,分别和"-down","-run"去比较,如果病毒在运行时没有附加参数,则先进行病毒的初始化工作。病毒先利用GetSystemDirectory获得当前系统的%SYSTEM32%目录，再进行字符连接得到"%SYSTEM32%\wnipsvr.exe",使用 CopyFile把病毒复制到%SYSTEM32%目录中，并改名为wnipsvr.exe。然后病毒利用CreateService,创建一个值名为"NetworSVA"的服务，其服务的描述为"允许对TCP/IP上NetBios服务以及NetBT名称解析的支持.",服务的数据为"%SYSTEM32%\wnipsvr.exe -run"。病毒还会再连接出一组"cmd.exe /c %SYSTEM32%\wnipsvr.exe -down"的字符串，使用WinExec进行调用。病毒会向本地所有磁盘内写入autorun.inf和hide.exe(病毒本身),来达到传播和自启动的目的.进行完上述操作后，病毒会在系统内以两种不同的参数方式存在，一种是以参数"-down"，一种是以参数"-run"分别进行启动。下面我们来看一下这两种启动方式后的病毒都会进行什么操作。

　　一、以"-down"参数启动的病毒：

　　病毒会读取注册表Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE的键值找到Iexplore.exe的路径，如果注册表内没有此键值，则默认路径为"C:\Program Files\Internet Explorer\IEXPLORE.EXE".病毒会利用Winexec去启动一个IE,接着就会利用FindWindow和GetWindowThreadProcessId来得到该进程的PID,再用OpenProcess打开该进程,用VirtualAlloc申请一段内存空间,利用WriteProcessMemory写入病毒代码,再使用CreateRemoteThread启动该病毒代码.该段病毒代码的作用就是利用URLDownloadToFile下载"http://pu.pumaXXX.com/ad.txt"这个文件并保存到"c:\Program Files\ini.ini"中.再使用WinExec将该文件启动起来.然后病毒会遍历系统内所有进程,查找"kvsrvxp.exe","RavMon.exe", "kavstart.exe",这三个进程,一旦发现,则向这些进程发送WM_COMMAND消息关闭这些进程.之后,病毒会用相同的手法,再启动一个IE,同样的去向该进程写入远程代码并调用,不过这次的代码下载的内容有所变化,这次下载的文件为:

　　"http://pu.pumaXXX.com/1630.exe"

　　"http://pu.pumaXXX.com/1631.exe"

　　"http://pu.pumaXXX.com/1632.exe"

　　"http://pu.pumaXXX.com/1633.exe"

　　"http://pu.pumaXXX.com/1634.exe"

　　"http://pu.pumaXXX.com/1635.exe"

　　"http://pu.pumaXXX.com/1636.exe"

　　"http://pu.pumaXXX.com/1637.exe"

　　"http://pu.pumaXXX.com/1638.exe"

　　"http://pu.pumaXXX.com/1639.exe"

　　"http://pu.pumaXXX.com/163a.exe"

　　"http://pu.pumaXXX.com/163b.exe"

　　"http://pu.pumaXXX.com/163c.exe"

　　"http://pu.pumaXXX.com/163d.exe"

　　"http://pu.pumaXXX.com/163e.exe"

　　"http://pu.pumaXXX.com/163f.exe"

　　"http://pu.pumaXXX.com/163g.exe"

　　"http://pu.pumaXXX.com/163h.exe"

　　"http://pu.pumaXXX.com/163i.exe"

　　"http://pu.pumaXXX.com/163j.exe"

　　"http://pu.pumaXXX.com/163k.exe"

　　分别保存在""c:\Program Files\"目录中,命名为"pro1.exe"至"pro21.exe"

　　再把这些下载好的病毒路径和"cmd.exe /c"连接起来,利用WinExec启动.

　　二、以"-run"参数启动的病毒：

　　这个就比较简单了,以"-run"为参数启动,就是得到%SYSTEM32%目录,利用字符串连接得到"cmd.exe /c %SYSTEM32%\wnipsvr.exe -down"来启动病毒.

　　总结：这是一个典型的下载器病毒,不过他多了一个可以利用移动存储设备传播的功能,该病毒利用人们不易轻易分辨的程序名称(wnipsvr.exe)和容易与正常服务混淆的描述来躲过用户的查杀,并且该病毒的下载方式是非常隐蔽的,不易被人们发现.所以此病毒具有一定的危险性.

　　安全建议：

　　1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

　　2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

　　3 不浏览不良网站，不随意下载安装可疑插件。

　　4 不接收QQ、MSN、Emial等传来的可疑文件。

　　5 上网时打开杀毒软件实时监控功能。

　　6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

　　清除办法：

　　瑞星杀毒软件清除办法：

　　安装瑞星杀毒软件，升级到19.45.02版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。