上周末,流氓软件8749再次更新,新版本针对金山清理专家做了改进,导致金山清理专家运行失败。
以下是新版8749流氓软件的分析报告。
1.保护模块
1.1关闭出现特定字符串的窗口
一些常见安全软件的字符串都在列表,即使用IE打开搜索页面,搜索这些字符,窗口也会被关闭。出问题的时候,用户也无法求助于搜索引擎。当前版本中,被屏蔽的字符列表包含(各版本有所差异):
360safe
Wopticlean
Kakasetup
ras.exe
金山毒霸
Btbaicai
Wopticlean
360safe
卡卡
IE修复
安全卫士
病毒
流氓
专杀
锁定浏览器
修改
修复
清除
删除
中了百度知道
|
1.2反金山清理专家(本版新增功能)
关闭KASMain.exe进程
清除SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce下的KASTask
1.3劫持HOST文件
当前版本列表(各版本有所不同):
125.91.1.20 www.37021.net
125.91.1.20 37021.net
125.91.1.20 5235.net
125.91.1.20 www.5235.net
125.91.1.20 www.7255.com
125.91.1.20 www.2345.com
125.91.1.20 www.9991.com
125.91.1.20 www.haol23.net
125.91.1.20 www.kzdh.com
125.91.1.20 www.qu123.com
127.0.0.1 www.duba.net
127.0.0.1 duba.net
127.0.0.1 bbs.360safe.com
127.0.0.1 www.okbihoo.cn
127.0.0.1 okbihoo.cn
|
1.4系统DLL注入QQ(病毒启动10分钟之后)
利用LOADLIBRARY在不传入全路径的情况下会先从当前目录尝试读取DLL的特性,在系统目录复制rasadhlp.dll,通过在该DLL的输入目录中添加自己的DLL,以达到随QQ一起启动的目的。
1.5文件占用
以CreateFile打开自己的程序文件,使文件处于被占用的状态。
1.6禁用XP自带的系统还原
在SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore的DisableSR键值改成1。
1.7破坏安全模式
把System\CurrentControlSet\Control\SafeBoot下的所有注册表项都清空
1.8全局钩子INLINE HOOK REGENUMVALUE
5字节的HOT PATCH,由于消息钩子是在窗口出现之后才把对应的DLL加载到内存中的,也就是说在多线程的环境下,该病毒有可能导致程序崩溃。该钩子的作用是隐藏自己在注册表中的启动项
1.9加密文件名,注册表启动项
其算法主要是根据本地C盘信息,根据其2进制值,对编码表的长度求余,获取编码表中对应的字符生成的。根据不同需要,生成规则略有差异。
1.10改写自身程序文件时间
获取kernel32.dll的创建时间修改时间和访问时间,修改自身文件时间与其相一致,逃避根据文件创建时间的检查。
2.功能模块
2.1修改IE,将搜索主页和默认主页修改为http://www.8749.com
Software\Microsoft\Internet Explorer\Search
Software\Microsoft\Internet Explorer\Main
|
值得注意的是这里使用了慢速概念,在程序运行后的10分钟之后(Sleep函数)才实现这部分功能。和前几个版本有所不同
2.2远程控制(一个非常危险的信号,除了劫持浏览器,被远程控制后,可以带来更严重的影响)
最基本的远程控制模块,包括一个以当前版本号,网络适配器信息和C盘的硬件信息为标记,发送数据包通知服务端在线的模块,以及能够响应服务端命令,下载并执行程序的模块。
2.3自动更新
当版本号与服务端不一致的时候,会自动下载最新版并覆盖原来的版本。(责任编辑:李磊)
