[推荐]“幽灵”秘密入侵 系统安全模式遭全面破坏[附“幽灵”分析报告]
荐 ★★★★★
“幽灵”秘密入侵 系统安全模式遭全面破坏[附“幽灵”分析报告]
“幽灵”分析报告:
Win32.Troj.PcGhost.a
中文名:“幽灵”
这是一个能删除系统安全模式的恶意病毒,它还能通过驱动程序的HOOK隐藏自己,并下载广告和病毒程序,使用户的计算机受到更多广告程序的干扰。
1.拷贝与释放文件病毒能把自己拷贝到这里: %ProgramFiles%Common Files23OSA.EXE
并释放3个文件
%ProgramFiles%Common Files23OFFICE.dll (Win32.Troj.PcGhost.a.40960)
%ProgramFiles%Common Files23MsOffTDI.sys (Win32.Troj.PcGhost.a.5120)
%ProgramFiles%Common Files23AnRegProt.sys (Win32.Troj.PcGhost.a.6016)
之后添加一个快捷方式
C:Documents and SettingsAll Users开始菜单程序启动Microsoft Office 23.lnk
该LNK指向%ProgramFiles%Common Files23OSA.EXE,使病毒能随Windows启动.
2.驱动级和用户级的Rootkit
病毒会同时使用驱动级(Ring0)与用户级(Ring3)的Rootkit技术隐藏自己的信息,包括程序文件,进程等,使用户无法察觉病毒的存在。
23AnRegProt.sys (Win32.Troj.PcGhost.a.6016)
这个驱动文件负责进行函数欺骗的,使特定的文件不显示:
该驱动HOOK了这几个函数:
ZwOpenKey
ZwSetValueKey
ZwCreateKey
ZwQueryDirectoryFile
一但以上函数返回值有以下字符时,就返回失败,使系统误以为不存在这些文件
230SA.EXE
23OFFICE.DLL
MICROSOFT OFFICE 23.LNK
这样使得在注册表,文件管理器等工具都无法发现病毒文件.
23MsOffTDI.sys (Win32.Troj.PcGhost.a.5120)
这个文件负责锁定23AnRegProt.sys与自己,防止被用户或其它软件删除。
3.破坏安全模式
病毒会把安全模式的注册表键值删除,键值如下:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSafeBoot
病毒把该键值下面全部项都删除,使用户无法进入安全模式,若用户强行进入安全模式的话会导致系统蓝屏崩溃。
4.干扰IceSword运行
病毒会阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod无法启动。
5.下载广告
病毒会开启一个IE进程(进程使用Rootkit技术隐藏),并读取一网址上的内容,
该网址为http://t1.*******.net/jw/ini/rules.ini
里面的内容为:
----------------------------------------------
[Version]
Item0=20061201
Item1=20061202
Item2=20061201
[File]
Item0=http://61.182.**.**/xzq/30009.exe
Item1=http://61.182.**.**/new/Setup.exe
Item2=http://61.182.**.**/new/setie.exe
[Size]
Item0=62243
Item1=263531
Item2=227446
并下载里面的文件到C:Documents and SettingsAll UsersApplication DataADSL之后运行这些文件,其中30009.exe是病毒文件,病毒名为Win32.Troj.Dropper.rk.62243。
此病毒文件能重新释放Win32.Troj.PcGhost.a病毒,据INI文件分析,该病毒还可能出现新的变种,病毒作者很有可能会在近期放出不同的变种。而Setup.exe与setie.exe则是广告程序,它使用户的计算机受到广告程序的干扰,严重影响了用户的工作。
上一页 [1] [2]
您现在的位置: