这是由机器狗病毒入侵后,下载的数10个病毒的一种,众所周知,AV终结者病毒也是一个下载器。可以想像被机器狗和AV终结者病毒联手蹂躏之后,用户的电脑会成什么状况。
该病毒更详尽的分析恕不能发表,详细分析的结果令人惊讶,并且肯定是一份病毒爱好者的上好教程,其它造病毒者稍加点拨,可能引来众多效仿者。其后果,就会让更多的网民遭受更大的损失和困扰。
以下内容节自金山毒霸反病毒中心对该病毒的详细分析报告修改后的可公开版本。
该DLL样本是木马病毒,它会:
(1)检测是否在虚拟机中运行以避免被放在虚拟机中调试。
(2)在系统目录、QQ、TM、QQGame目录下释放病毒文件副本。
(3)下载病毒文件,改名为wsock32.dll,保存到QQ、TM、TM2008、QQGame的安装目录下。此外,病毒还会删除QQ、TM、TM2008、QQGame在注册表中的部分子键和键值,让其他程序难以准确定位释放的病毒文件的路径。
(4)设置ShellServiceObjectDelayLoad启动项,让系统目录下的副本dll随系统自动运行。
(5)建立软件特征库,根据文件名特征、版本信息特征、文件数据特征检查当前系统中的进程,结束被匹配到的进程,删除进程文件。
包括:ollydbg.ini,Libclsid.dat,KNetWch.SYS,mmskskin.dll,Iereset.dll,KASearch.DLL,Rsaupd.exe,libdll.dat,CleanHis.dll,WoptiClean.sys,kakalib.def,kkinst.ini,KAVBootC.sys,Ras.exe,iehelp.exe,trojandetector.exe,KAConfig.DLL,KAVPassp.DLL,KKClean.dll,VirUnk.def,AntiActi.dll账Smallfrogs,Micropoint,ArSwp,360safe,Duba,毒霸,Kingsoft
(6)HookRegEnumValueW账RegEnumValueA账RegOpenKeyExA账CreateFileA账CreateFileW,并创建线程不断检查,以保护自身的键值不被删除。
(7)删除子键HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal账破坏安全模式;
删除键值HKLM\System\CurrentControlSet\Control\SessionManager\PendingF
ileRenameOperations,阻止MoveFileEx的重启后删除文件功能;
(8)删除 QQ、TM、TM2008、QQGame 在注册表中的子键,删除列表为:
HKLM\Software\tencent\qq
HKLM\Software\Tencent\TM\Bin
HKLM\Software\Tencent\TM20008\Bin
HKLM\Software\Tencent\QQGame\Sys
(9)修改hosts文件,影响用户访问网络,病毒要修改的hosts列表动态更新,主要是安全软件公司的网站,这将导致安全产品不能升级,中毒后也不能正常浏览安全厂商的网站。
(10)定期下载升级信息,根据升级信息更新文件数据特征库。
(11)作为媒介为其他病毒提供侵入用户系统和升级病毒版本的服务。病毒会比较升级信息中给出要安装的其他病毒的版本和系统中该病毒的版本,若没有安装这些病毒或版本较低,下载新版本的病毒安装到用户系统上。
【责任编辑 柴祖伟】
