Worm.AutoRun.ke.37376分析
威胁级别:★☆☆☆☆
病毒类型:蠕虫病毒 病毒长度:37376 影响系统:WinNT Win2000 WinXP 病毒行为:
病毒成功在客户计算机上运行后删除自身。
病毒修改 NoDriveTypeAutoRun 值,允许自动运行。
通过查找卡巴驱动文件的方法判断客户计算机是否安装卡巴杀软,如果安装了则生成一个一批处理并运行,把系统时间改为"1981-01-12"。
创建线程查找以下窗口类和标题:
#32770 - IE 执行保护 #32770 - IE执行保护 #32770 - 瑞星卡卡上网安全助手 - IE防漏墙 如查找到以上窗口则模拟发送"确定"消息。(允许病毒运行) 从指定的网址上下载大量的木马程序、感染型病毒到客户计算器上运行。
生成的文件:
%SystemRoot%\System32\Sert.exe 每个盘根目录下\sert.exe 每个盘根目录下\AutoRun.inf AutoRun.inf 内容:
[AutoRun] open=sert.exe shellexecute=sert.exe shell\Auto\command=sert.exe 添加的注册表:
注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWSVIS 注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsvis 木马、感染型病毒下载地址:
hxxp://web.freewebhtm.com/soft/1.exe hxxp://web.freewebhtm.com/soft/2.exe hxxp://web.freewebhtm.com/soft/3.exe hxxp://web.freewebhtm.com/soft/4.exe hxxp://web.freewebhtm.com/soft/5.exe hxxp://web.freewebhtm.com/soft/6.exe hxxp://web.freewebhtm.com/soft/7.exe hxxp://web.freewebhtm.com/soft/8.exe hxxp://web.freewebhtm.com/soft/9.exe hxxp://web.freewebhtm.com/soft/a.exe hxxp://web.freewebhtm.com/soft/b.exe hxxp://web.freewebhtm.com/soft/c.exe hxxp://web.freewebhtm.com/soft/d.exe hxxp://web.freewebhtm.com/soft/e.exe hxxp://web.freewebhtm.com/soft/f.exe hxxp://web.freewebhtm.com/soft/g.exe 总结:典型的Autorun型的病毒,只要客户通过双击电脑上的各个盘都会运行此病毒,病毒会通过查找杀软文件修改系统时间和创建线程查找窗口来发送确定消息逃过杀软,病毒会从指定的网址下载大量的病毒,盗取客户计算机上的资料。
摘自:金山病毒百科 本文出自 51CTO.COM技术博客 |
yuncx
博客统计信息
热门文章
最新评论
友情链接