科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道病毒伪装微软文件 诱使用户关防火墙

病毒伪装微软文件 诱使用户关防火墙

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

看华南虎发来的病毒播报,注意到其中有这样一个病毒:“欺骗者捆绑器2060299”(PE.VBIconchgs.il.2060299)。

来源:论坛整理 2008年10月9日

关键字: 安全防范 病毒查杀 病毒

  • 评论
  • 分享微博
  • 分享邮件
看华南虎发来的病毒播报,注意到其中有这样一个病毒:“欺骗者捆绑器2060299”(PE.VBIconchgs.il.2060299)。

  病毒分析描述:

  病毒名称(中文):欺骗者捆绑器2060299

  威胁级别:★★☆☆☆

  病毒类型:文件捆绑器

  病毒长度:2060299

  影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

  病毒行为:

  这是一个由VB语言所写的感染型捆绑器程序。它能够将病毒程序捆绑到正常的文件上,进入电脑后就释放出病毒。它所携带的病毒是个远程木马,具有欺骗能力,会试图欺骗用户关闭自己的防火墙。

  1.病毒伪装为微软文件,附带如下版权信息。(病毒会伪装成带有微软签名的程序,不加留意会以为这是微软发布的补丁文件)

  
病毒伪装微软文件 诱使用户关防火墙


  病毒内存在字符串Awsotr_Auto_Infect_And_Icon_Changer。

  2.病毒释放文件至%WindowsDirectory%\A__rd.exe执行,并将需要绑定的文件以及图标释放至c:\msasn1目录下,文件为:BProtect.Axv、BProtect.exe、mqperf.exe、msidntld#.exe、Set1.Ico文件,并在执行过程中不断变化图标文件。

  3.病毒搜索磁盘中文件,并将需附加部分附加于搜索到的.exe文件前方,以及图标文件组合为新文件。

  4.被感染文件被执行时,释放绑定的病毒文件并执行。病毒并不会释放以及执行原文件。

  5.病毒捆绑部分为木马程序,伪装为微软防火墙程序,病毒中存在如下字符串(这段字串是在病毒执行时弹出的对话框,诱使用户关闭其它杀毒软件):

  
病毒伪装微软文件 诱使用户关防火墙


  病毒文件伪装为微软文件,并附带如下版权信息:

  
病毒伪装微软文件 诱使用户关防火墙


  我没有拿到这个样本,也就没有这个病毒运行后对话框的截图了。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章