科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Win32.Troj.Downloader.mu.109568 手动专杀及 病毒资料

Win32.Troj.Downloader.mu.109568 手动专杀及 病毒资料

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病毒名称(中文): QQ艳照门病毒 病毒别名: 艳照门病毒,陈冠希原版相片病毒 威胁级别: ★★☆☆☆ 病毒类型: 木马下载器 病毒长度: 109568 影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003

来源:论坛整理 2008年9月19日

关键字: 安全防范 病毒查杀 病毒资料

  • 评论
  • 分享微博
  • 分享邮件
病毒名称(中文): QQ艳照门病毒 病毒别名: 艳照门病毒,陈冠希原版相片病毒 威胁级别: ★★☆☆☆ 病毒类型: 木马下载器 病毒长度: 109568 影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

这是一个木马下载器。该病毒通过给QQ好友发送名为“陈冠希原版相片”的rar格式压缩文件来进行传播,一旦进入用户系统,就会劫持安全软件,并在各驱动器下建立AUTO文件来自启动。然后下载40多种木马程序到用户电脑中运行,造成无法预计的损失。

1. 判断autoruninf是否存在,存在获取当前运行的病毒路径的驱动器名,然后打开驱动器,
不存在,跳过。
2. 提权限SeDebugPrivilege 然后用TerminateProcess来结束进程
360Safe.exe 360tray.exe VsTskMgr.exe Runiep.exe RAS.exe UpdaterUI.exe TBMon.exe
KASARP.exe scan32.exe VPC32.exe VPTRAY.exe ANTIARP.exe KRegEx.exe KvXP.kxp
kvsrvxp.kxp kvsrvxp.exe KVWSC.EXE Iparmor.exe AST.EXE
3. 向#32770 发送PostMessageA WM_COMMAND 然后再发送8002消息。
4. 改时间为2002 年。
5. 将C:\WINDOWS\system32\urlmon.dll复制到C:\WINDOWS\system32\syurl.dll。(为了躲
避安全软件对urlmon.dll的监控)
6. 用ShellExecuteA调用cacls给
C:\WINDOWS\system32\packet.dll /e /p everyone:f
"C:\WINDOWS\system32\pthreadVC.dll /e /p everyone:f
"C:\WINDOWS\system32\wpcap.dll /e /p everyone:f"
"C:\WINDOWS\system32\drivers\npf.sys /e /p everyone:f"
"C:\WINDOWS\system32\npptools.dll /e /p everyone:f"
"C:\WINDOWS\system32\wanpacket.dll /e /p everyone:f"
"C:\WINDOWS\system32\drivers\acpidisk.sys /e /p everyone:f"
给everyone 用户组(就是所有人)对packet.dll pthreadVC.dll wpcap.dll npf.sys npptools.dll
wanpacket.dll acpidisk.sys 的完全控制
7. 调用CMD 来停止安全软件的服务
cmd /c net stop McShield
cmd /c net stop KWhatchsvc
cmd /c net stop KPfwSvc
cmd /c net stop "Norton AntiVirus Server"
8. 用"C:\Program Files\Internet Explorer\IEXPLORE.EXE"打开
http://www.b***uoo.com/tj.htm 来欺骗用户,降低用户的怀疑。
9. 将自身拷贝到"C:\WINDOWS\system32\wuauc1t.exe",并将属性改为系统隐藏。
10. 扫描(C~Z)用GetDriveTypeA 来判断当前驱动器是DRIVE_FIXED 是就复制
explorer.pif ,然后会删除本驱动器下的autorun.inf,创建一个自己的autorun.inf。
11. 读"Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE",并WinExec
启动。
12. 通过FindWindows "IEFrame" 打开”IEXPLORE.EXE”将下载部分写入 LoadLibraryA
(kernel32.dll user32.dll Shell32.dll syurl.dll(urlmon.dll的拷贝))GetProcAddress获取
URLDownloadToFileA
13. 下载列表http://www.b***uoo.com/****
14. 修改"SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden
\showall\"的CheckedValue项改为0(默认为1)
15. 删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318},来破坏安全模式。
16. 镜项劫持"C:\WINDOWS\system32\wuauc1t.exe"
360rpt.EXE 360safe.EXE 360tray.EXE AVP.EXE AvMonitor.EXE CCenter.EXE
IceSword.EXE Iparmor.EXE KVMonxp.kxp KVSrvXP.EXE KVWSC.EXE Navapsvc.EXE
Nod32kui.EXE KRegEx.EXE Frameworkservice.EXE Mmsk.EXE Wuauclt.EXE Ast.EXE
WOPTILITIES.EXE Regedit.EXE AutoRunKiller.exe VPC32.exe VPTRAY.exe
ANTIARP.exe KASARP.exe QQDOCTOR.EXE
17. 截获到#32770发送WM_GETTEXT判断是否成功,并获取标题是不是“与XX 聊天中”
成功删除%TempPath%\陈冠希原版相片.rar 将刚下载的c:\sys.pif 复制到%TempPath%\
陈冠希原版相片.rar 向#32770 发送WM_DROPFILES 并发送%TempPath%\陈冠希原
版相片.rar 当对方不在线时 模拟鼠标按键点否。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章