upside
 
   
  
 反病毒 反詐騙 反虐犬
|
分享:
▼
x0
|
“猫癣”病毒完整分析
一、现象描述:
1.感染“猫癣下载器”的电脑速度会明显变慢,杀毒软件反复提示发现病毒不能完全清除;
2.非系统盘的可执行文件文件目录发现“usp10.dll”文件;
3.部分用户的电脑感染猫癣下载器会出现弹出大量广告页面、“QQ医生”扫描功能无法正常使用,迅雷不能正常使用等各种症状;
4.部分用户查毒以后将导致输入法无法正常使用;
5.QQ,网游游戏账号被盗。
二、行为描述:
1、对抗安全软件
(1) 病毒通过给进程照相对比的方式找到以下软件的进程然后调用windows TerminateProcess函数尝试将其结束。病毒作者未测试方案可行性,目前具有自保护功能的杀毒软件(比如毒霸)此方法无效
kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe
ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe
rfwmain.exe rfwstub.exe rfwsrv.exe
(2) 调用360保险箱自带卸载参数卸载保险箱,并修改注册表关闭360安全卫士的实时监控遍历当前进程,发现存在"safeboxTray.exe"进程,获取其文件路径,并以"/u"参数打开"safeboxTray.exe"进程,"/u"参数是其自带的卸载参数。
修改注册表
HKLMSOFTWARE360Safesafemon
"MonAccess" REG_DWORD 0
"SiteAccess" REG_DWORD 0
"ExecAccess" REG_DWORD 0
"ARPAccess" REG_DWORD 0
"weeken" REG_DWORD 0
"IEProtAccess" REG_DWORD 0
"LeakShowed" REG_DWORD 0
"UDiskAccess" REG_DWORD 0
(3) 创建线程关闭icesword之类的安全软件的窗口
病毒检查当前窗口的class(类)是否为"AfxControlBar42s",如果是则向此窗口发送WM_CLOSE(关闭消息)消息,并模拟键盘的回车键点击“是”。
2、破坏系统设置
(1) 替换下载并替换HOSTS文件,从而屏蔽竞争对手的木马下载域名
下载/news/UploadFiles_9994/200902/20090208165904878.jpg,保存到%sys32dir%driversecthosts文件
(2) 更改显示隐藏文件,使得病毒释放的部分文件不被用户发现
修改以下注册表键值,来隐藏文件
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
"Hidden" REG_DWORD 0
"SuperHidden" REG_DWORD 0
"ShowSuperHidden" REG_DWORD 0
(3) 添加对迅雷的映像劫持(IFEO),感染后不能正常使用迅雷
HKLMSOFTWAREMicrosoftWindows NTCurrentVersion
Image File Execution OptionsThunder5.exe
"Debugger" REG_SZ "svchost.exe"
3、病毒不断复活,难以清除
(1) 猫癣下载器使用机器狗的穿还原的技术修改ctfmon.exe(此程序用先是当前输入法状态),若此文件被杀毒软件查杀,则用户不能切换输入法输入中文。
(2) 猫癣下载器,使用了劫持dll文件的方式,在所有非系统盘的可执行文件所在目录释放大量“usp10.dll”文件,当用户发现电脑“中招以后”即使进行重新安装,却因为这个马甲dll没有被清除导致再度感染。
(3) 猫癣下载器在局域网中会尝试使用扫荡波(MS08-067)漏洞攻击局域网的用户,若用户没有及时修补扫荡波漏洞将可能反复被感染。
(4) 由于很多网站安全意识薄弱,恶意代码被轻松植入,猫癣下载器借IE0day漏洞、Flashplayer、Realpaly、迅雷5、暴风影音、联众世界、微软access漏洞等漏洞在网络广泛传播,用户访问网页的时候就有可能再次感染病毒。
4、猫癣下载器给电脑带来的危害
猫癣下载器下载针对魔兽世界、大话西游OnlineII、剑侠世界、完美系列游戏、梦幻西游、魔域等十余款热门网游、以及QQ的盗号木马,企图盗窃受害用户网络虚拟财产。
|
