这是一个伪装成安全工具的木马下载器。病毒运行后在电脑桌面上显示说发现严重的木马,并通过释放的屏保程序显示一个假的“蓝屏”,要求用户下载指定的某款“安全软件”。
这又是一个最近十分流行的伪装安全工具的木马,加未知壳。病毒运行后修改系统墙纸和屏保程序为病毒释放的文件,在桌面上显示"Warning!SpyWare detected on your computer!………………",并通过释放的屏保程序显示一个假的"蓝屏"错误,欺骗用户其系统崩溃。
病毒行为:
1.创建互斥量{A56DECD8-1102-49e9-BFD5-17FBE35197F2},避免多个病毒实例运行。
2.创建如下注册表项,设置感染标记
HKLM\Software\Microsoft\Software Notifier,
"InstallationID"= 158e8651-abbc-4b9e-9142-3622b6b4e0cb;
3.释放文件%windir%\system32\phcgg8j0evfe.bmp,
修改注册表如下项:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"NoDispBackgroundPage"=1,不显示"属性”页中“桌面”选项卡;
4.释放病毒副本文件%windir%\system32\lphcgg8j0evfe.exe,添加自启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run,
"lphcggj0evfe"=%windir%\system32\lphcgg8j0evfe.exe;
5.在目录x:\Documents and Settings\XXX\Local Settings\Temp下释放文件.tt1.tmp.vbs并执行此脚本文件后删除,这个脚本文件创建一个系统还原点"Last Good restore point"。
6.释放文件%windir%\system32\blphcgg8j0evfe.scr,
修改注册表关于系统设置的一些键值,列举其中部分如下:
HKCU\Control Panel\Desktop
"SCRNSAVE.EXE"=%windir%\system32\blphcgg8j0evfe.scr,修改当前系统屏保程序为病毒释放程序。
HKCU\Control Panel\Colors\Background = 0 0 255,修改背景色为全蓝;
HKCU\Control Panel\Desktop\WallpaperStyle = 0
HKCU\Control Panel\Desktop\TileWallpaper = 0
HKCU\Control Panel\Desktop\Wallpaper = "%System%\phcptrj0ejd1.bmp",修改当前系统墙纸为病毒释放的文件;
HKCU\Control Panel\Desktop\OriginalWallpaper = "%System%\phcptrj0ejd1.bmp"
HKCU\Control Panel\Desktop\ConvertedWallpaper = "%System%\phcptrj0ejd1.bmp
HKCU\Control Panel\Desktop\ScreenSaveActive = 1,激活屏保;
HKCU\Control Panel\Desktop\ScreenSaveTimeOut = 600 ,设置屏保激活时限;
HKCU\Software\Sysinternals\Bluescreen Screen Saver\EulaAccepted = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage = 1,不显示“属性”页中“屏幕保护程序”选项卡。
7.运行blphcgg8j0evfe.scr显示一个逼真的“蓝屏”错误,数秒后进入windows启动状态条,伪装启动失败继续蓝屏,如此反复使用户相信系统崩溃。
8.搜集系统敏感信息,包括系统版本,系统当前进程,通过从HKLM\Microsoft\Windows\CurrentVersion\Uninstall下键值获取当前系统安装的软件信息,把记录的这些信息保存到youp****tube.com的cookies里。
9.访问http://windo****date.microsoft.com,判断网络是否连通。
10.如网络连通,访问anti****sxp2008.com,www.wi***ixer.com下载“安全工具”。