|
|
本帖最后由 lynfr8 于 2009-5-15 02:46 编辑
声明:本文只作技术方面的探讨,无害人害己之意
且看下面一篇病毒发作机制公告:
Win32.Troj.Autorun.mq.226304
资料引用:http://www.knowsky.com/439651.html
这是个具有一定伪装性的木马程序。病毒运行后禁止用户使用部分系统工具,并自于天天9点自动运行。由于病毒进程名和系统svchost.exe进程相似,加上病毒程序图标为文件夹图标,对用户具有一定的迷惑作用。病毒会尝试搜索局域网内其它电脑的共享文件夹,将名为“NewFolder.exe”的病毒文件复制到其中。病毒还会注入用户机器上的即时聊天工具“雅虎通”的进程,利用它来发送病毒网页的链结。另外,病毒还会下载恶意程序安装至用户计算机。
这是一个使用AutoIt编写的木马程序。病毒运行后复制自身至系统文件夹,修改注册表启动项以开机自启动,禁止用户使用"任务治理器"、"文件夹选项"、"注册表工具",
病毒会自动创建计划任务,于天天9点自动运行。病毒重启后会常驻进程scvhosts.exe,和系统svchost.exe进程相似,加上病毒程序图标为文件夹图标,有一定的伪装性。病毒还
尝试通过网络共享进行传播,并使用"NewFolder.exe"文件名复制到每个发现的共享中。病毒还会检测用户机器上的"Yahoo!Messenger",并利用其发送信息。另外,病毒还会
在后台尝试下载恶意程序安装至用户计算机。
7.病毒具体描述:
(1)生成病毒文件
%windir%\hinhem.scr
%windir%\scvhosts.exe
%sys32dir%\autorun.ini
%sys32dir%\blastclnnn.exe
%sys32dir%\scvhosts.exe
%windir%\Tasks\At1.job
%windir%\Tasks\At2.job
(2)生成注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares shared "\NewFolder.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NofolderOptions dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run YahooMessengger "%sys32dir%\scvhosts.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule AtTaskMaxHours dword:00000000
(3)修改注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon Shell "Explorer.exe" "Explorer.exescvhosts.exe"
(4)病毒尝试创建一个计划任务AT1,描述如下:
运行:%sys32dir%\blastclnnn.exe
注释:由NetScheduleJobAdd创建。
运行方式:NTAUTHORITY\SYSTEM
运行计划:每周9:00开始
(5)病毒修改注册表,禁止用户使用"任务治理器"、"文件夹选项"、"注册表工具"
(6)病毒重启后会常驻进程scvhosts.exe,和系统svchost.exe进程相似,有一定的伪装性
(7)病毒尝试通过网络共享进行传播,并使用"NewFolder.exe"文件名复制到每个发现的共享中
(8)尝试连接以下网址下载恶意程序
hxxp://s*tt*ng.doc.fish.cn/1.exe
hxxp://www.0f**h.cn/1.exe
...
(9)检测用户机器上的"Yahoo!Messenger",并利用其发送以下信息之一,并附带网址http://t***aithoi.xlphp.net
Emay,vaodaycoicoconnhonayngonlam
Vaodaynghebainaydiban
Vaodaynghebainaydiban
Biettingichua,vaodaycoidi
TrangWebnaycoicunghay,vaocoithudi
Toidilangthanglantrongbongtoibuotgia,vedaukhidamatemroi?Vedaukhibaonhieumomonggiodavotan...Vedautoibietdivedau?
Khocchonhothuongvoitronglong,khocchonoisaunhenhukhong.Baonhieuyeuthuongnhungngayquadatantheokhoimaybaythatxa...
Thanguoidungnoiseyeuminhtoimaithoithigiodaytoisevuihon.Gionguoilacloibuocchanvenoixaxoi,caydangchiriengminhtoi...
Loiemnoichotinhchungta,nhudoancuoitrongcuonphimbuon.Nguoidadennhulagiacmoroiradichoanhbatngo...
Tralaiemniemvuikhiduocganbenem,tralaiemloiyeuthuongemdem,tralaiemniemtinthangnamquatadapxay.Giodaychilanhungkyniembuon...
(10)病毒定时的终止"cmd.exe"和"game_y.exe"进程,关闭包含以下标题的窗口,
"SystemConfiguration"
"Registry"
"WindowsTask"
"[FireLion]"
看似以上功能au3的确能做到,有兴趣的大家讨论下 |
|
|手机版|小黑屋|AUTOIT CN
( 鲁ICP备19019924号-1 )谷歌
百度
发表于 2009-4-27 19:04:53