G.国王族 官方论坛-广州游戏资讯网
标题:
[转帖]流氓软件“3448”分析报告
[打印本页]
作者:
Rico_Y
时间:
2006-11-27 09:28
标题:
[转帖]流氓软件“3448”分析报告
这是一个使用[Borland C++]编写的病毒 系统被感染后,打开IE或者其他浏览器起始页面被篡改为http:// www.3448.com/。 病毒通过API HOOK自我保护。 通过其他恶意程序或者自身下载升级下载并得到执行,使用随机文件名达到屏蔽文件名清除模式。 病毒运行后有以下行为: 一、病毒通过修改注册表Software\microsoft\windows\currentversion\run达到开机自动运行的目的。 病毒主要通过Rundll32.exe加载。 病毒还感染Tencent QQ的TimProxy.dll文件的导入表,可以在用户启动QQ的时候加载。 加载后使用消息钩子注入各进程,并根据进程名做不同的动作。 主要有: 1、HOOK进程API,自我保护。 2、注入在QQ.EXE进程中的,仅做修改注册表的动作。 3、注入在EXPLORER.EXE进程中的病毒主要做一下动作。 (1)主要破坏注册表SafeBoot键,导致无法进入安全模式。 (2)下载文件并通过文件类型更新,运行或者替换HOSTS文件。 (3)感染Tencent QQ的TimProxy.dll文件的导入表。 二、通过Rundll32.exe加载的病毒,会把自己复制到系统目录(%SYSTEMDIR%)和驱动目录(%SYSTEMDIR%\Drivers\)。 三、修改注册表以下键值: 注册表键:Software\Microsoft\Internet Explorer\Main 数据项:"Start Page" 数据值为:"http:// www.3448.com" 注册表键:Software\Microsoft\Internet Explorer\Search 数据项:"CustomizeSearch" 数据值为:"http:// www.3448.com" 注册表键:Software\Microsoft\Internet Explorer\Search 数据项:"SearchAssistant" 数据值为:"http:// www.3448.com" 四、搜索进程名或者窗口文字包含以下字符串的进程,发现后关闭计算机。 hsreg.exe xiufuhosts hs.exe yaass filemon regmon wopticlean 4199_9505 4199 9505 41999505 95054199 9505专杀 删除9505 4199.com/9505.com kickthemout 流氓软件清除 system repair btbaicai.com wopticlean icesword 3448专杀 清除3448 删除3448 3448病毒 unlocker killbox hijack ollydbg ewido anti-spyware 文件寻找 1.0 黄山IE 瑞星卡卡 安全卫士
[此贴子已经被作者于2006-11-27 9:28:29编辑过]
欢迎光临 G.国王族 官方论坛-广州游戏资讯网 (http://bbs.gzgame.com.cn/)
Powered by Discuz! X3.1