AUTO病毒冒充系统文件　专门关闭卡巴斯基 - 病毒木马 - - 网络安全

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 网络安全 » 病毒木马 » AUTO病毒冒充系统文件　专门关闭卡巴斯基 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

userli

副版主

帖子 1079
精华 1
无忧币 12758
积分 3286
阅读权限 140

注册日期 2006-9-17

最后登录 2008-5-11

离线

[查看资料] [发短消息] [Blog]

发表于:2008-3-20 23:16　　标题：AUTO病毒冒充系统文件　专门关闭卡巴斯基
＜上一帖 | 下一帖＞

【赛迪网-IT技术报道】Win32.Troj.AutoRunT.ad.15598是一个下载者病毒。它会查找并关闭安全软件的提示窗口。如果用户电脑中安装有杀毒软件卡巴斯基，病毒会修改系统日期，使卡巴失效。然后，它会下载病毒文件，并在系统上的每个磁盘下生成 autorun.inf 文件，扩散自己的传播范围。
病毒名称(中文)：AUTO病毒15598
威胁级别：★☆☆☆☆
病毒类型：木马下载器病毒
长度：15598
影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为：
这是一个下载者病毒。它会查找并关闭安全软件的提示窗口。如果用户电脑中安装有杀毒软件卡巴斯基，病毒会修改系统日期，使卡巴失效。
然后，它会下载病毒文件，并在系统上的每个磁盘下生成 autorun.inf 文件，扩散自己的传播范围。
这是一个下载者病毒，通过创建系统服务实现开机自启动。从多个网址上下载病毒文件，并保存在系统上执行。
通过创建线程查找安全软件的提示窗口，并模拟用户鼠标操作，如发现卡巴文件则使用 cmd 的 date 命令修改系统日期。
在系统上的每个磁盘下生成 autorun.inf 文件，并指向病毒文件(把 systemroot\system32\Dser.exe 复制一份至磁盘根目录下)。
病毒运行后释放以下病毒文件：
%systemroot%\system32\Dser.exe (文件属性为“隐藏”和“系统”)
判断系统上是否存在 %systemroot%\system32\drivers\klif.sys 文件，如存在则使用 cmd 带参数设置当前系统时间为 1981-01-12。
病毒释放文件后在 system32 文件夹下创建批处理文件，并创建进程运行，删除自身：

:try
del "病毒源文件(释放源)"
if exist "病毒源文件(释放源)" goto try
del %0
创建线程查找窗口标题名为“IE 执行保护”、“IE执行保护”、“瑞星卡卡上网安全助手-IE防漏墙”窗口。如发现，则获取其窗口的“允许执行”按钮的窗口位置，并向其发送鼠标消息(模拟鼠标按下)。
后台下载病毒作者指定的病毒网址，下载保存在系统上并执行：

http:/ /www.8**ao***mm.bj.cn/123.exe
http:/ /www.8**ao***mm.bj.cn/124.exe
http:/ /www.8**ao***mm.bj.cn/125.exe
http:/ /www.8**ao***mm.bj.cn/126.exe
http:/ /www.8**ao***mm.bj.cn/127.exe
http:/ /www.8**ao***mm.bj.cn/128.exe
下载后的病毒文件全部保存在 system32 文件夹下。在系统上的每个磁盘下创建 autorun.inf 文件，并把病毒文件复制一份至磁盘根目录下。autorun.inf 文件指向病毒文件 Dser.exe。
病毒通过创建注册表系统服务实现开机自启动：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
WinServerDown
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
WinServerDown ImagePath "%systemroot%
\system32\Dser.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
WinServerDown DisplayName "AntiVirus"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
WinServerDown ObjectName "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
WinServerDown Description "网络安全向导"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\
0000 Service "WinServerDown"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\
0000 Legacy dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\
0000 Class "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\
0000 DeviceDesc "AntiVirus"
(责任编辑：李磊)