Win32.Troj.Downloader.mu.109568 手动专杀及 病毒资料

病毒名称(中文): QQ艳照门病毒 病毒别名: 艳照门病毒,陈冠希原版相片病毒 威胁级别: ★★☆☆☆ 病毒类型: 木马下载器 病毒长度: 109568 影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

这是一个木马下载器。该病毒通过给QQ好友发送名为“陈冠希原版相片”的rar格式压缩文件来进行传播，一旦进入用户系统，就会劫持安全软件，并在各驱动器下建立AUTO文件来自启动。然后下载40多种木马程序到用户电脑中运行，造成无法预计的损失。

1. 判断autoruninf是否存在，存在获取当前运行的病毒路径的驱动器名，然后打开驱动器，
不存在，跳过。
2. 提权限SeDebugPrivilege 然后用TerminateProcess来结束进程
360Safe.exe 360tray.exe VsTskMgr.exe Runiep.exe RAS.exe UpdaterUI.exe TBMon.exe
KASARP.exe scan32.exe VPC32.exe VPTRAY.exe ANTIARP.exe KRegEx.exe KvXP.kxp
kvsrvxp.kxp kvsrvxp.exe KVWSC.EXE Iparmor.exe AST.EXE
3. 向#32770 发送PostMessageA WM_COMMAND 然后再发送8002消息。
4. 改时间为2002 年。
5. 将C:\WINDOWS\system32\urlmon.dll复制到C:\WINDOWS\system32\syurl.dll。（为了躲
避安全软件对urlmon.dll的监控）
6. 用ShellExecuteA调用cacls给
C:\WINDOWS\system32\packet.dll /e /p everyone:f
"C:\WINDOWS\system32\pthreadVC.dll /e /p everyone:f
"C:\WINDOWS\system32\wpcap.dll /e /p everyone:f"
"C:\WINDOWS\system32\drivers\npf.sys /e /p everyone:f"
"C:\WINDOWS\system32\npptools.dll /e /p everyone:f"
"C:\WINDOWS\system32\wanpacket.dll /e /p everyone:f"
"C:\WINDOWS\system32\drivers\acpidisk.sys /e /p everyone:f"
给everyone 用户组(就是所有人)对packet.dll pthreadVC.dll wpcap.dll npf.sys npptools.dll
wanpacket.dll acpidisk.sys 的完全控制
7. 调用CMD 来停止安全软件的服务
cmd /c net stop McShield
cmd /c net stop KWhatchsvc
cmd /c net stop KPfwSvc
cmd /c net stop "Norton AntiVirus Server"
8. 用"C:\Program Files\Internet Explorer\IEXPLORE.EXE"打开
http://www.b***uoo.com/tj.htm 来欺骗用户，降低用户的怀疑。
9. 将自身拷贝到"C:\WINDOWS\system32\wuauc1t.exe"，并将属性改为系统隐藏。
10. 扫描（C~Z）用GetDriveTypeA 来判断当前驱动器是DRIVE_FIXED 是就复制
explorer.pif ，然后会删除本驱动器下的autorun.inf，创建一个自己的autorun.inf。
11. 读"Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE"，并WinExec
启动。
12. 通过FindWindows "IEFrame" 打开”IEXPLORE.EXE”将下载部分写入 LoadLibraryA
（kernel32.dll user32.dll Shell32.dll syurl.dll（urlmon.dll的拷贝））GetProcAddress获取
URLDownloadToFileA
13. 下载列表http://www.b***uoo.com/****
14. 修改"SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden
\showall\"的CheckedValue项改为0（默认为１）
15. 删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}，来破坏安全模式。
16. 镜项劫持"C:\WINDOWS\system32\wuauc1t.exe"
360rpt.EXE 360safe.EXE 360tray.EXE AVP.EXE AvMonitor.EXE CCenter.EXE
IceSword.EXE Iparmor.EXE KVMonxp.kxp KVSrvXP.EXE KVWSC.EXE Navapsvc.EXE
Nod32kui.EXE KRegEx.EXE Frameworkservice.EXE Mmsk.EXE Wuauclt.EXE Ast.EXE
WOPTILITIES.EXE Regedit.EXE AutoRunKiller.exe VPC32.exe VPTRAY.exe
ANTIARP.exe KASARP.exe QQDOCTOR.EXE
17. 截获到#32770发送WM_GETTEXT判断是否成功，并获取标题是不是“与XX 聊天中”
成功删除%TempPath%\陈冠希原版相片.rar 将刚下载的c:\sys.pif 复制到%TempPath%\
陈冠希原版相片.rar 向#32770 发送WM_DROPFILES 并发送%TempPath%\陈冠希原
版相片.rar 当对方不在线时 模拟鼠标按键点否。