Win32.Troj.Agent.dz.11636

病毒名稱(中文):

機器狗變種11636

病毒別名:

機器狗,IGM

威脅級別:

★★☆☆☆

病毒類型:

木馬下載器

病毒長度:

11636

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

這是一個可以穿透還原軟件的病毒。病毒通過直接讀寫文件簇來繞過一些文件過濾系統的監視,病毒會釋放一個驅動來實現還原軟件的穿透,並修改系統文件USERINIT.EXE,中毒後每次開機就會下載大量木馬到本地運行。

該病毒就解除還原系統的保護,使冰點、硬盤保護卡實效。接著,該病毒會利用MS06-014和MS07-017系統漏洞和等多個應用軟件漏洞,從http://xx.exiao***.com/、http://www.h***.biz/、http://www.xqh***.com/等惡意網址下載多款網遊木馬,盜取包括傳奇、魔獸世界、征途、奇迹等多款網遊帳號和密碼,嚴重威脅遊戲玩家數字財産的安全。正因爲冰點還原軟件和硬盤保護卡大多在網吧使用,因此網吧成爲該病毒發作的重災區。

一、病毒運行後,病毒會釋放一個驅動文件pcihdd.sys到%system32%drivers\下,

並創建服務加載它,加載完畢後就將其刪除.

二、.病毒通過讀\\.\PhysicalDrive0(注,和\\.\PhysicalHardDisk0區別開來)來獲取MBR的信息,並根據MBR信息來判定第一分區是否爲啓動分區且分區類型爲病毒所支持的,若不是則不繼續破壞,目前該病毒支持FAT32,FAT32LBA,NTFS三種分區格式.

三、病毒利用pcihdd.sys創建了\Device\PhysicalHardDisk0及其符號連接\\.\PhysicalHardDisk0來對病毒提供解密,破解還原軟件等功能.並只處理:

IRP_MJ_CREATE,IRP_MJ_CLOSE,IRP_MJ_DEVICE_CONTROL.

四、病毒感染%system32%Userinit.exe流程如下:

1.病毒首先打開\\.\PhysicalHardDisk0,這時驅動便找到硬盤的驅動設備\Device\Harddisk0\DR0(實際就是\\.\PhysicalDrive0所指向的設備),並判定是否有被冰點之類還原軟件的設備所挂接,若有則解除還原軟件的挂接,是還原類軟件對\\.\PhysicalDrive0攔截失效.

2.然後打開Userinit.exe,並利用FSCTL_GET_RETRIEVAL_POINTERS來獲取文件數據的分布信息,再將控制碼0xF0003C04發送給\\.\PhysicalHardDisk0來獲取解密的資源數據.

3.最後,通過\\.\PhysicalDrive0將獲取的解密數據寫入到Userinit.exe的第一簇.由于病毒是直接修改文件簇的,所以感染後的Userinit.exe大小和屬性等信息是不變,唯一不同的是文件內容及版本信息.

五、被修改後的Userinit.exe:

1.查詢SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon下的Shell鍵值

2.創建Shell進程

3.等待網絡鏈接,當網絡鏈接暢通後,則從http://yu.8s7.net/cert.cer下載病毒列表

4.對于列表中的文件每個文件,創建一個新線程下載並執行,線程計數加1

5.等待所有線程結束後(線程計數爲0)結束進程.

Win32.Troj.Agent.dz
病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 11636影響系統:Win2000WinXPWin2003病毒行爲: 該病毒通過驅動直接操作磁盤扇區感染userinit.exe文件。 1、釋放...查看完整版>>Win32.Troj.Agent.dz
 
Win32.Troj.Agent.pw.665088
病毒名稱(中文): 遠程控制木馬665088 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 665088影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是個遠程控制木馬。它能夠...查看完整版>>Win32.Troj.Agent.pw.665088
 
Win32.Troj.Agent.km.52224
病毒名稱(中文): 精確制導監視器 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 木馬程序 病毒長度: 52224影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是一個間諜木馬程序。它能夠記...查看完整版>>Win32.Troj.Agent.km.52224
 
Win32.Troj.Agent.co.16384
病毒名稱(中文): 最終幻想盜號者16384 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 偷密碼的木馬 病毒長度: 16384影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這個一個盜號木馬程序的...查看完整版>>Win32.Troj.Agent.co.16384
 
Win32.Troj.Agent.ie.302080
病毒名稱(中文): 廣告彈出器302080 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 廣告軟件 病毒長度: 302080影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是個廣告木馬。它會劫持系統...查看完整版>>Win32.Troj.Agent.ie.302080
 
Win32.Troj.Agent.bk.348160
病毒名稱(中文): 流氓下載器348160 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬下載器 病毒長度: 76404影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是一個木馬下載器。它會從...查看完整版>>Win32.Troj.Agent.bk.348160
 
Win32.Troj.Agent.lt.5696
病毒名稱(中文): 組合木馬5696 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 5696影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是某木馬程序的組成部分。它會在磁...查看完整版>>Win32.Troj.Agent.lt.5696
 
Win32.Troj.Agent.de.147456
病毒名稱(中文): 廣告刷子147456 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 255488影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲: 這是一個廣告木馬程序的變種。會...查看完整版>>Win32.Troj.Agent.de.147456
 
Win32.Troj.Agent.gh.139264
病毒名稱(中文): 武裝下載器139264 病毒別名: liiuo.exe病毒,uqppo.exe病毒 威脅級別: ★★☆☆☆ 病毒類型: 木馬下載器 病毒長度: 143360影響系統:Win9xWinMeWinNTWin2000WinXPWin2003病毒行爲...查看完整版>>Win32.Troj.Agent.gh.139264
 
 
回到王朝網路移動版首頁