论坛: 病毒专区 标题: “幽灵” 破坏系统安全模式 复制本贴地址    
作者: 流浪猫猫 [rovecat]    版主   登录
流氓软件“幽灵”档案:

  名称:幽灵

  行为追踪:“幽灵”运行后可将自己拷贝到%ProgramFiles%Common Files23OSA.EXE中,并释放23OFFICE.dll、23MsOffTDI.sys、23AnRegProt.sys等3个病毒文件,之后添加一个快捷方式到C:Documents and SettingsAll Users开始菜单程序启动Microsoft Office 23.lnk,使病毒能随Windows启动。

  三大危害:

  1. 破坏系统安全模式
  删除安全模式的注册表键值,使用户无法进入安全模式,即使强行进入,也会导致系统蓝屏崩溃
  2. 阻止IceSwrod启动
  阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod无法启动
  3. 下载大量广告程序与病毒文件
  开启一个IE进程,读取网址http://t1.*******.net/jw/ini/rules.ini上的内容,并从该址下载广告程序和病毒文件。


“幽灵”分析报告:

  Win32.Troj.PcGhost.a
  中文名:“幽灵”
  这是一个能删除系统安全模式的恶意病毒,它还能通过驱动程序的HOOK隐藏自己,并下载广告和病毒程序,使用户的计算机受到更多广告程序的干扰。

  1.拷贝与释放文件 病毒能把自己拷贝到这里: %ProgramFiles%Common Files23OSA.EXE
  并释放3个文件
  %ProgramFiles%Common Files23OFFICE.dll (Win32.Troj.PcGhost.a.40960)
  %ProgramFiles%Common Files23MsOffTDI.sys (Win32.Troj.PcGhost.a.5120)
  %ProgramFiles%Common Files23AnRegProt.sys (Win32.Troj.PcGhost.a.6016)
  之后添加一个快捷方式
  C:Documents and SettingsAll Users开始菜单程序启动Microsoft Office 23.lnk
  该LNK指向%ProgramFiles%Common Files23OSA.EXE,使病毒能随Windows启动.

  2.驱动级和用户级的Rootkit
  病毒会同时使用驱动级(Ring0)与用户级(Ring3)的Rootkit技术隐藏自己的信息,包括程序文件,进程等,使用户无法察觉病毒的存在。
  23AnRegProt.sys (Win32.Troj.PcGhost.a.6016)
  这个驱动文件负责进行函数欺骗的,使特定的文件不显示:
  该驱动HOOK了这几个函数:
  ZwOpenKey
  ZwSetValueKey
  ZwCreateKey
  ZwQueryDirectoryFile
  一但以上函数返回值有以下字符时,就返回失败,使系统误以为不存在这些文件
  230SA.EXE
  23OFFICE.DLL
  MICROSOFT OFFICE 23.LNK
  这样使得在注册表,文件管理器等工具都无法发现病毒文件.

  23MsOffTDI.sys (Win32.Troj.PcGhost.a.5120)
  这个文件负责锁定23AnRegProt.sys与自己,防止被用户或其它软件删除。


  3.破坏安全模式
  病毒会把安全模式的注册表键值删除,键值如下:
  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSafeBoot
  病毒把该键值下面全部项都删除,使用户无法进入安全模式,若用户强行进入安全模式的话会导致系统蓝屏崩溃。

  4.干扰IceSword运行
  病毒会阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod无法启动。

  5.下载广告
  病毒会开启一个IE进程(进程使用Rootkit技术隐藏),并读取一网址上的内容,
  该网址为http://t1.*******.net/jw/ini/rules.ini
  里面的内容为:
  ----------------------------------------------
  [Version]
  Item0=20061201
  Item1=20061202
  Item2=20061201


  [File]
  Item0=http://61.182.**.**/xzq/30009.exe
  Item1=http://61.182.**.**/new/Setup.exe
  Item2=http://61.182.**.**/new/setie.exe

  [Size]
  Item0=62243
  Item1=263531
  Item2=227446
  并下载里面的文件到C:Documents and SettingsAll UsersApplication DataADSL之后运行这些文件,其中30009.exe是病毒文件,病毒名为Win32.Troj.Dropper.rk.62243。

  此病毒文件能重新释放Win32.Troj.PcGhost.a病毒,据INI文件分析,该病毒还可能出现新的变种,病毒作者很有可能会在近期放出不同的变种。而Setup.exe与setie.exe则是广告程序,它使用户的计算机受到广告程序的干扰,严重影响了用户的工作。



  专家建议:

  1.网络下载并安装某些小软件的过程中,一定要仔细阅读每一步的安装说明,以防流氓软件捆绑传播
  2.不登陆一些不知名的小网站,以免流氓软件利用网页进行传播
  3.安装正版杀毒软件或流氓软件专杀工具,并进行实时升级



地主 发表时间: 06-12-11 22:45

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号