广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2418 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
“猫癣”病毒完整分析
“猫癣”病毒完整分析

一、现象描述:

1.感染“猫癣下载器”的电脑速度会明显变慢,杀毒软件反复提示发现病毒不能完全清除;

2.非系统盘的可执行文件文件目录发现“usp10.dll”文件;

3.部分用户的电脑感染猫癣下载器会出现弹出大量广告页面、“QQ医生”扫描功能无法正常使用,迅雷不能正常使用等各种症状;

4.部分用户查毒以后将导致输入法无法正常使用;

5.QQ,网游游戏账号被盗。

二、行为描述:

1、对抗安全软件

(1) 病毒通过给进程照相对比的方式找到以下软件的进程然后调用windows TerminateProcess函数尝试将其结束。病毒作者未测试方案可行性,目前具有自保护功能的杀毒软件(比如毒霸)此方法无效


kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe
ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe
rfwmain.exe rfwstub.exe rfwsrv.exe

(2) 调用360保险箱自带卸载参数卸载保险箱,并修改注册表关闭360安全卫士的实时监控遍历当前进程,发现存在"safeboxTray.exe"进程,获取其文件路径,并以"/u"参数打开"safeboxTray.exe"进程,"/u"参数是其自带的卸载参数。

修改注册表


HKLMSOFTWARE360Safesafemon
"MonAccess"     REG_DWORD     0
"SiteAccess"   REG_DWORD     0
"ExecAccess"   REG_DWORD     0
"ARPAccess"     REG_DWORD     0
"weeken"     REG_DWORD     0
"IEProtAccess"   REG_DWORD     0
"LeakShowed"   REG_DWORD     0
"UDiskAccess"   REG_DWORD     0

(3) 创建线程关闭icesword之类的安全软件的窗口

病毒检查当前窗口的class(类)是否为"AfxControlBar42s",如果是则向此窗口发送WM_CLOSE(关闭消息)消息,并模拟键盘的回车键点击“是”。

2、破坏系统设置

(1) 替换下载并替换HOSTS文件,从而屏蔽竞争对手的木马下载域名

下载/news/UploadFiles_9994/200902/20090208165904878.jpg,保存到%sys32dir%driversecthosts文件

(2) 更改显示隐藏文件,使得病毒释放的部分文件不被用户发现

修改以下注册表键值,来隐藏文件


HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
"Hidden"         REG_DWORD     0
"SuperHidden"     REG_DWORD     0
"ShowSuperHidden"   REG_DWORD     0

(3) 添加对迅雷的映像劫持(IFEO),感染后不能正常使用迅雷


HKLMSOFTWAREMicrosoftWindows NTCurrentVersion
Image File Execution OptionsThunder5.exe
"Debugger"     REG_SZ     "svchost.exe"

3、病毒不断复活,难以清除

(1) 猫癣下载器使用机器狗的穿还原的技术修改ctfmon.exe(此程序用先是当前输入法状态),若此文件被杀毒软件查杀,则用户不能切换输入法输入中文。

(2) 猫癣下载器,使用了劫持dll文件的方式,在所有非系统盘的可执行文件所在目录释放大量“usp10.dll”文件,当用户发现电脑“中招以后”即使进行重新安装,却因为这个马甲dll没有被清除导致再度感染。

(3) 猫癣下载器在局域网中会尝试使用扫荡波(MS08-067)漏洞攻击局域网的用户,若用户没有及时修补扫荡波漏洞将可能反复被感染。

(4) 由于很多网站安全意识薄弱,恶意代码被轻松植入,猫癣下载器借IE0day漏洞、Flashplayer、Realpaly、迅雷5、暴风影音、联众世界、微软access漏洞等漏洞在网络广泛传播,用户访问网页的时候就有可能再次感染病毒。

4、猫癣下载器给电脑带来的危害

猫癣下载器下载针对魔兽世界、大话西游OnlineII、剑侠世界、完美系列游戏、梦幻西游、魔域等十余款热门网游、以及QQ的盗号木马,企图盗窃受害用户网络虚拟财产。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2009-02-20 23:00 |
kcvo
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x122
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

好困难的解法....感谢研究出来分享


献花 x0 回到顶端 [1 楼] From:台湾宽频通讯 | Posted:2009-02-21 02:44 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.014909 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言