· [Java论坛][安全论坛][数据库论坛][操作系统论坛]
· [专题] IBM Rational高峰论坛 Windows 7十大功能
· [专题] 史上就危险7月 微软 BizSpark 计划介绍
· [IT技术周刊][IT资源下载专区][病毒求助专区]
· [热点] 我也能做CTO_赛迪连载 赛迪七夕特别行动
· [热点] Chrome 4.0采用V8引擎 Java开发编程规范

流氓软件8749再更新 关闭金山清理专家

发布时间:2007.07.31 07:49     来源:赛迪网    作者:李铁军

上周末,流氓软件8749再次更新,新版本针对金山清理专家做了改进,导致金山清理专家运行失败。

以下是新版8749流氓软件的分析报告。

1.保护模块

1.1关闭出现特定字符串的窗口

一些常见安全软件的字符串都在列表,即使用IE打开搜索页面,搜索这些字符,窗口也会被关闭。出问题的时候,用户也无法求助于搜索引擎。当前版本中,被屏蔽的字符列表包含(各版本有所差异):

360safe
Wopticlean
Kakasetup
ras.exe
金山毒霸
Btbaicai
Wopticlean
360safe
卡卡
IE修复
安全卫士
病毒
流氓
专杀
锁定浏览器
修改
修复
清除
删除
中了百度知道

1.2反金山清理专家(本版新增功能)

关闭KASMain.exe进程

清除SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce下的KASTask

1.3劫持HOST文件

当前版本列表(各版本有所不同):

125.91.1.20 www.37021.net
125.91.1.20 37021.net
125.91.1.20 5235.net
125.91.1.20 www.5235.net
125.91.1.20 www.7255.com
125.91.1.20 www.2345.com
125.91.1.20 www.9991.com
125.91.1.20 www.haol23.net
125.91.1.20 www.kzdh.com
125.91.1.20 www.qu123.com
127.0.0.1 www.duba.net
127.0.0.1 duba.net
127.0.0.1 bbs.360safe.com
127.0.0.1 www.okbihoo.cn
127.0.0.1 okbihoo.cn

1.4系统DLL注入QQ(病毒启动10分钟之后)

利用LOADLIBRARY在不传入全路径的情况下会先从当前目录尝试读取DLL的特性,在系统目录复制rasadhlp.dll,通过在该DLL的输入目录中添加自己的DLL,以达到随QQ一起启动的目的。

1.5文件占用

以CreateFile打开自己的程序文件,使文件处于被占用的状态。

1.6禁用XP自带的系统还原

在SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore的DisableSR键值改成1。

1.7破坏安全模式

把System\CurrentControlSet\Control\SafeBoot下的所有注册表项都清空

1.8全局钩子INLINE HOOK REGENUMVALUE

5字节的HOT PATCH,由于消息钩子是在窗口出现之后才把对应的DLL加载到内存中的,也就是说在多线程的环境下,该病毒有可能导致程序崩溃。该钩子的作用是隐藏自己在注册表中的启动项

1.9加密文件名,注册表启动项

其算法主要是根据本地C盘信息,根据其2进制值,对编码表的长度求余,获取编码表中对应的字符生成的。根据不同需要,生成规则略有差异。

1.10改写自身程序文件时间

获取kernel32.dll的创建时间修改时间和访问时间,修改自身文件时间与其相一致,逃避根据文件创建时间的检查。

2.功能模块

2.1修改IE,将搜索主页和默认主页修改为http://www.8749.com

Software\Microsoft\Internet Explorer\Search
Software\Microsoft\Internet Explorer\Main

值得注意的是这里使用了慢速概念,在程序运行后的10分钟之后(Sleep函数)才实现这部分功能。和前几个版本有所不同

2.2远程控制(一个非常危险的信号,除了劫持浏览器,被远程控制后,可以带来更严重的影响)

最基本的远程控制模块,包括一个以当前版本号,网络适配器信息和C盘的硬件信息为标记,发送数据包通知服务端在线的模块,以及能够响应服务端命令,下载并执行程序的模块。

2.3自动更新

当版本号与服务端不一致的时候,会自动下载最新版并覆盖原来的版本。(责任编辑:李磊)


[ 发表评论 ] 字体[  ] [ 打印 ] [ 进入博客 ] [ 进入论坛 ]  [ 推荐给朋友 ]
  相关文章
· 局域网爆发新MSN病毒 发送汉语拼音信息 (07-30) · 流氓软件卷土再来 360安全卫士发布追杀令 (07-30)
· 江民:谨防MSN性感相册病毒疯狂变种(组图) (07-30) · 网秦杀毒 轻松搞定 (07-30)
· 反病毒的未来在服务(组图) (07-30) · 本周要谨防"MSN机器人"和"武林大盗"病毒 (07-30)
· “蚂案贼”病毒变种出现 专窃网游msn账号 (07-30) · 礼物病毒本周送"礼" 通过电子邮件进行传播 (07-30)
· 通过移动存储设备传播的木马呈现上升趋势 (07-30) · 菜鸟安全知识:认识局域网病毒七大特点 (07-27)
  客户需求反馈表
* 姓  名:
更多资料  了解方案  认识厂商
* 单位名称:
* 联系电话:
* 电子邮件:
资讯 通信 IT产品 IT技术 信息化
专题:扭亏为盈 联想09年Q2翻番
·专题:Tech·Ed 2009微..
·直播:2009互联网大会..
·迅雷搜狐"互搏" 谁动了..
专题:诺基亚危局已现 或重蹈摩托覆辙
·六股势力角逐4G标准 中..
·专题:联通iPhone并不贵..
·专题:排排坐开商店 三..
商务演示需求分析 多媒体会议室必备投影
·VMware在京隆重举行2009..
·专题:笔记本频道10月热..
·专题:学生机市场 惠普 ..
专题:Tech.Ed 2009微软技术大会
·专题:2009 SYBASE 亚太..
·专题:微软新一代桌面操..
·专题:2009年第3届CSDN..