[资讯]计算机病毒预报(2012年11月26日至2012年12月02日)
提交于: 2012-11-26 16:05
W32.Extrat警惕程度★★★影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
该蠕虫关联到以下远程访问工具:
Xtreme RAT
Spy-Net RAT
该蠕虫执行时,会创建下列文件:
%Windir%\installdir\server.exe
接着,它创建下列的注册表项,使得系统启动时,蠕虫也开始执行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"Policies" = "%Windir%\installdir\server.exe"
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。
Backdoor.Makadocs警惕程度★★★影响平台:Win 9X/ME/NT/2000/XP/Server 2003/Vista
该木马会链接到Google文档,并利用它作为代理,获取下面的远程命令与控制服务器的命令 :
83.222.226.158
akamaihub.com
msupdatecdn.com
stocksengine.net
该木马可能在受感染的计算机上执行下列命令:
打开一个控制台
下载并执行文件
删除自身
关闭自身进程
接着,它会下载并执行以下文件:
%CurrentFolder%\scvhost.exe
接着,木马会把下列信息发送到远程位置:
后门程序状态
后门程序的版本号
当前文件夹的路径
域
域管理员的用户名
主机名
本地管理员的用户名
操作系统类型
用户名
预防和清除:
TrojanDropper.Agent.bxlb
警惕程度★★★
影响平台:Win 9X/ME/NT/2000/XP/2003/Vista
病毒行为流程分析:一、
TrojanDropper.Agent.bxlb 病毒程序被加密壳保护,加密壳具备反调试器,反脱壳,反dump等手法,再后面描述中不对加壳引擎进行讨论。
TrojanDropper.Agent.bxlb 运行后首先检测系统环境,得到系统目录的路径,访问系统文件夹下NOTEPAD.EXE(记事本)文件,并且隐藏打开。将自身复制到C:Program Files目录下存放,重命名为zhudong.exe ,并且从自身资源中释放文件到C:Program Fileszhuanye.exe。
添加开机注册表项HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun,每次系统重新启动后会自动加载zhudong.exe。
二、
创建notepad.exe进程,创建时候就把它挂起。然后得到它的装载基址,使用函数ZwUnmapViewOfSection来卸载这个这个基址内存空间的数据,。再用VirtualAllocEx来个notepad.exe进程重新分配内存空间,大小为要注入程序的大小(就是自身的imagesize)。使用WriteProcessMemory重新写notepad.exe进程的基址,就是刚才分配的内存空间的地址。再用WriteProcessMemory把自己的代码写入notepad.exe的内存空间。用SetThreadContext设置下进程状态,最后使用ResumeThread继续运行notepad.exe进程。(进程劫持类病毒一直使用的技术手段)
Notepad.exe 进程内写入的病毒程序为C:Program Fileszhuanye.exe,它的大小为100M,垃圾数据比较多,在将此病毒脱壳处理后的大小为517 KB,释放的大小为100M,是为了躲避杀毒软件的云鉴定查杀的功能。
其自身隐藏在NotePad.exe中,它的父进程为zhudong.exe,再对NotePad.exe的进程地址空间修改数据后,父进程退出,这时候杀毒软件查杀到了Notepad.exe进程中的数据为病毒时,要上报样本,而父进程已经退出,只能取Notepad.exe来上报,此方法为了躲避杀毒软件得到病毒样本。
三、
当Notepad.exe 进程被篡改后,且运行起来了,为了避免防火墙对进程进行拦截,病毒的作者在baidu里申请了自己的空间,并将真实的配置文件网址存放在自己空间中。再取得到空间的地址后,进行相关配置文件的下载。并且安装系统钩子函数,监视网页相关的进程。对访问网银购买物品的客户,到付款页面的时候,构造自己购买游戏充值卡的页面,当付款页面到达的时候会直接弹出窗口让用户付款,如果客户不在意两个金额而直接付款钱就直接被扣了。监视的页面主要是支付网关的操作。
下图中有此劫持购买的程序所对哪些支付网关有监控,购买跳出页面的则是ztgame的充值卡。并修改相关的网页数据达到欺骗的用户付款的目的。
释放文件
TrojanDropper.Agent.bxlb 运行
释放
C:Program Fileszhudong.exe (TrojanDropper.Agent.bxlb自身文件)
C:Program Fileszhuanye.exe(释放出来的劫持网银购买的)
访问网络
Zhuanye.exe映射到Notepad.exe中,访问 hi.baidu.com/22222ewq/item/a9d17f3ab4b5817081f1a7f4(取得自己的网址cnaaa6.com)
qweasdzxc.ri218t.cnaaa6.com/dlog.txt (取得IP配置文件)
iframe.ip138.com/city.asp (得到当前主机的外网ip)
预防和清除:
1、删除C:Program Fileszhuanye.exe,C:Program Fileszhudong.exe
2、删除HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun下键值zhudong
advs: