作者:金山
2008年1月21日 9:59
掘自:金山
病毒名称(中文):
打卡签到下载者
病毒行为:
这是个具有一定伪装性的木马程序。病毒运行后禁止用户使用部分系统工具,并自于每天9点自动运行。由于病毒进程名和系统svchost.exe进程相似,加上病毒程序图标为文件夹图标,对用户具有一定的迷惑作用。病毒会尝试搜索局域网内其它电脑的共享文件夹,将名为“New Folder.exe”的病毒文件复制到其中。病毒还会注入用户机器上的即时聊天工具“雅虎通”的进程,利用它来发送病毒网页的链结。另外,病毒还会下载恶意程序安装至用户计算机。
这是一个使用AutoIt编写的木马程序。病毒运行后复制自身至系统文件夹,修改注册表启动项以开机自启动,禁止用户使用"任务管理器"、"文件夹选项"、"注册表工具",
病毒会自动创建计划任务,于每天9点自动运行。病毒重启后会常驻进程scvhosts.exe,和系统svchost.exe进程相似,加上病毒程序图标为文件夹图标,有一定的伪装性。病毒还
尝试通过网络共享进行传播,并使用"New Folder.exe"文件名复制到每个发现的共享中。病毒还会检测用户机器上的"Yahoo! Messenger",并利用其发送信息。另外,病毒还会
在后台尝试下载恶意程序安装至用户计算机。
7.病毒详细描述:
(1)生成病毒文件
%windir%\hinhem.scr
%windir%\scvhosts.exe
%sys32dir%\autorun.ini
%sys32dir%\blastclnnn.exe
%sys32dir%\scvhosts.exe
%windir%\Tasks\At1.job
%windir%\Tasks\At2.job
(2)生成注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares shared "\New Folder.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NofolderOptions dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Yahoo Messengger "%sys32dir%\scvhosts.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule AtTaskMaxHours dword:00000000
(3)修改注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell "Explorer.exe" "Explorer.exe scvhosts.exe"
(4)病毒尝试创建一个计划任务AT1,描述如下:
运行:%sys32dir%\blastclnnn.exe
注释:由 NetScheduleJobAdd 创建。
运行方式:NT AUTHORITY\SYSTEM
运行计划:每周 9:00 开始
(5)病毒修改注册表,禁止用户使用"任务管理器"、"文件夹选项"、"注册表工具"
(6)病毒重启后会常驻进程scvhosts.exe,和系统svchost.exe进程相似,有一定的伪装性
(7)病毒尝试通过网络共享进行传播,并使用"New Folder.exe"文件名复制到每个发现的共享中
(8)尝试连接以下网址下载恶意程序
hxxp://s*tt*ng.doc.fish.cn/1.exe
hxxp://www.0f**h.cn/1.exe
...
(9)检测用户机器上的"Yahoo! Messenger",并利用其发送以下信息之一,并附带网址http://t***aithoi.xlphp.net
E may, vao day coi co con nho nay ngon lam
Vao day nghe bai nay di ban
Vao day nghe bai nay di ban
Biet tin gi chua, vao day coi di
Trang Web nay coi cung hay, vao coi thu di
Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau?
Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa...
Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi...
Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo...
Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon...
(10)病毒定时的终止"cmd.exe" 和 "game_y.exe"进程,关闭包含以下标题的窗口,
"System Configuration"
"Registry"
"Windows Task"
"[FireLion]"
