|
本地行为:
1、 文件运行后会衍生以下文件:
%HomeDrive%\NetApi000.sys 4096字节
%HomeDrive%\037589.log 94208字节
%DriveLetter%\AUTORUN.INF 172字节
%DriveLetter%\pagefile.pif 94208字节
%System32%\16768235.log 94208字节
%System32%\dnsq.dll 32256字节
%System32%\Com\lsass.exe 94208字节
%System32%\Com\netcfg.000 16384字节
%System32%\Com\netcfg.dll 16384字节
%System32%\Com\smss.exe 40960字节
2、注册表操作:
(1)、修改注册表:
[HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\ShowSuperHidden]
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述:使隐藏文件不可见
(2)、修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\SuperHidden]
新建键值:字串:" Type "="radio"
原键值:字串:" Type "="checkbox"
描述:使 <文件夹选项(O)…> “查看”标签下的
“显示所有文件与文件夹”失效
(3)、修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion\Windows]
新建键值:字串:" AppInit_DLLs "=
"C:\WINDOWS\system32\dnsq.dll"
原键值:字串:" AppInit_DLLs "= ""
描述:添加病毒启动项
(4)、删除注册表Run启动目录:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
描述:删除Run项内所有启动项和Run项本身,
使写入在Run项下的安全软件无法随机启动
(5)、删除安全模式注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串: "DiskDrive"
描述:删除注册表中安全模式相关项,
使重起后无法从安全模式进入
(6)、删除安全模式注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串: "DiskDrive"
描述:删除注册表中安全模式相关项,
使重起后无法从安全模式进入
(7)、删除安全模式注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串:"DiskDrive"
描述:删除注册表中安全模式相关项,
使重起后无法从安全模式进入
(8)、删除安全模式注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SafeBoot\Network
\{4D36E967-E325-11CE-BFC1-08002BE10318}]
注册表值: "@"
类型: REG_SZ
字符串: "DiskDrive"
描述:删除注册表中安全模式相关项,
使重起后无法从安全模式进入
3、在各个盘符的根目录下释放AUTORUN.INF与其执行文件pagefile.pif,
当打开盘符时便会执行病毒体。
4、dnsq.dll插入到EXPLORER.EXE进程和其它相关进程中。Dnsq.dll会对
病毒的进程,注册表和文件进行定时检测,当检测到相应位置的信息被删除时,
便重新写入病毒信息。
5、开启双进程%System32%\Com\lsass.exe与System32%\Com\smss.exe,
进行进程保护。
6、在系统目录释放备份文件037589.log,16768235.log,其中16768235为随机
数字;当病毒文件被删除或破坏时,将由备份文件重新生成。
7、在系统根目录下生成驱动文件NetApi000.sys以恢复SSDT,将杀毒软件修改SSDT
的部分卸载。该文件当系统启动时加载并删除自身,使杀毒软件无法检测到;
当系统关闭时,重新写入系统根目录下。
8、创建互斥体,防止系统中有多个病毒进程在运行。
9、检测带有下列字符的窗体,如检测到则使该窗体失效:
rav
avp
kv
scan
360
firewall
kv
monitor
诊
具
bitdefender
avg
arp
mcafee
金山
升级
antivir
费尔
木
微点
防
墙
扫描
……
10、使用系统的cacls命令和API函数LookupPrivilegeValue
(提升SeDebugPrivilege权限)进行权限提升。
11、lsass.exe进行键盘记录。
12、拷贝自身到“%Documents and Settings\All Users\「开始」菜单\程序\启动”
目录下,重命名为 “ ~.exe.(随机8位数字).exe ”;
达到电脑重启时运行的目的。
13、对exe;rar、zip;js等类型文件进行感染。
网络行为:
1、后台开启IE下载:
w.c***.com/r.htm
www.ka****.com/sp/cd/newsso/QQimages/style.css
js.k****.com/install.exe
……
下载文件运行后的衍生文件:
%System32%\AntiTool.exe
%System32%\drivers\alg.exe
%System32%\drivers\npf.sys
%System32%\Packet.dll
%System32%\pthreadVC.dll
%System32%\wpcap.dll
2、弹出网页:
http://www.ka****.com/sp/cd/newsso
/qq.html?username=hh88&zhaosp=qq
http://www.163sinasohutom21cnvnet***********.com.cn
/submit1.php?aid=10931
说明:通过假QQ靓号与通过答题获取QQ币的钓鱼页面来骗取用户手机充值。
3、lsass.exe:连接网络jj.g****.net/html/qb2.html (125.65.165.***)
下载病毒信息。
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
|
病毒标签:
病毒上报信箱: