天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

江民发布“无极杀手”病毒技术分析报告

  

  11月16日,江民反病毒中心监测到,一个名为“无极杀手”变种b(Win32/Piloyd.b)的病毒正在互联网上疯狂传播,该病毒在短短20天的时间内就感染了37万余台计算机。

  江民反病毒专家分析,病毒运行后,生成qmgr.dll病毒文件,加载sfc_os.dll并查找其5号导出函数,使得系统的文件保护对于其要修改的qmgr.dll失效,然后病毒从资源中读取数据写到qmgr.dll,修改该文件时间,并启动对应的服务。然后在系统目录下把自身复制为lsasvc.dll并在临时目录释放“TempDel.bat”以删除自身。 

  病检查当前模块所在进程是否为360tray.exe,如果是则创建一个名为"360SpShadow0"的设备,通过发送IO控制码的方式控制绕过360tray.exe的检测,完成后,退出程序。

  查找当前系统中是否存在进程"360tray.exe",如果有,则将%SystemRoot%\system32\qmgr.dll复制为%SystemRoot%\system32\1l1.dll,将%SystemRoot%\system32\1l1.dll注入到目标进程空间,从而第一步的内容得到执行,完成后,删除%SystemRoot%\system32\1l1.dll,同时清空hosts文件。

  完成以上动作后,病毒会创建多个线程执行不同操作:

  线程1:

  将qmgr.dll对应的BITS服务启动类型设置为自动。

  删除如下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network破坏安全模式

  然后在临时文件夹内创建一个名为LiTdi.sys的驱动,创建名为LiTdi服务,并启动服务。查找相关杀毒软件或安全软件进程,并向驱动发送IO控制码的方式结束相关进程。

  病毒还会调用IE访问http://nbtj.114anhui.com/msn/163.htm做感染统计。

  从表项中依次选择下载十几种恶意程序,其中多数为盗号木马。

  病毒还会感染可移动存储设备上的exe,rar,htm,html,asp,aspx文件,对于扩展名为.rar的文件,病毒还会解包感染以上扩展名文件后再压缩回去。对于htm,html,asp,aspx的网页文件,病毒会在其尾部加上“”的恶意代码,使得这些网页文件成为病毒的二次传播源,用户一旦点击这些被感染文件,则会被病毒感染。

  病毒还会通过自动播放功能传播。查找可移动存储设备并在其根目录下生成autorun.inf,建立一个名为recycle.{645FF040-5081-101B-9F08-00AA002F954E}的文件夹,把%SystemRoot%\system32\dllcache\lsasvc.dll复制到该目录下为Ghost.exe。

  通过自带的弱密钥列表对网上邻居进行猜解,被猜解成功的管理员账户密码的计算机将受到感染;如果连接成功,则将C:\WINDOWS\system32\dllcache\lsasvc.dll拷贝到对方机器的C:\cm.exe,同时创建计划任务以激活该病毒。

  针对该病毒,江民杀毒软件KV2010已紧急升级,用户只需升级杀毒软件到最新病毒库,开启主动防御和实时监控,即可有效防御病毒,免遭“无极杀手”病毒侵害,确保电脑数据安全。

 

 

本文来源:华军资讯 作者:厂商投递

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行