创建文件、恶意篡改IE主页这些司空见惯的病毒行为,人们早已熟悉。各家杀毒软件的扫描引擎也早就对这些敏感字符串加以监控,只要程序中包含这些内容就将被视为可疑文件,从而大大降低病毒的存活几率。但“顽强”的病毒作者们总会想尽一切办法来进行对抗。
最近,AVG中国病毒实验室就侦测到一种新型的bat病毒,正在悄然蔓延。
与以往常见bat病毒的不同在于:此次的病毒是将内容以十六进制形式分散写入多个文件,然后将这些文件进行拼接组合,生成最终的恶意程序。
拼接的方法是采用copy A /b + B /b + ...(/b以二进制形式)。
将众多“正常”文件巧妙组合成病毒文件,拼接过程中没有出现明文的字符串,降低了被检测到的几率。
下面来看下病毒的具体行为:
1.首先在D盘下创建msn\gaming文件夹,设置属性为系统+隐藏。
2.在桌面创建“淘”字样图标,修改IE主页,添加导航网页和钓鱼网页,自启动。
3.拼接生成2个exe文件link.exe和Ker.exe,用于启动tmptwo.bat, “start /min”是最小化运行,从而降低了被发现的几率。
Tmptwo.bat用于启动fuck.bat。
fuck.bat用于实现2的功能。(该文件也是拼接生成)
4.清理这些用于拼接的临时文件。
在后续的变种中,为了逃避杀软的查杀,病毒作者在原有基础上做了修改。
一种是修改bat文件的头部,加入了用于混淆的垃圾代码。
另一种是给批处理文件加密,方法是在文件头部加上FFEF,让记事本一类的文本编辑器以UNICODE方式打开批处理文件,就会显示乱码,但Windows本身并不认为这个文件是UNICODE格式文件,依然依次执行文件中的每条命令,批处理文件仍然能够正常运行。
切换到十六进制模式显示如下代码:
如果强行在要被加密的批处理文件头增加UNICODE文件头FFFE,肯定会造成被加密批处理文件的第一条命令执行错误,而作者,在FFFE后面加了一个0D0A,这是个回车换行命令,这样就不会影响被加密文件第一条命令的执行。
AVG已经将其检测为Bat/Agent,能有效阻止该恶意软件。在这里,AVG不得不提醒广大用户,及时更新病毒库、定时查杀,养成良好的上网习惯才是王道;另外,网上冲浪特别是在网购的时候,看好官方网站再登入,千万不要被山寨网购网站所迷惑。
本文来源:不详 作者:佚名