绿化专杀方法.txt始终相信,这世间,相爱的原因有很多,但分开的理由只有一个--爱的还不够。人生有四个存折:健康 情感 事业和金钱。如果健康消失了,其他的存折都会过期。 ,wsock32.dll,绿化.bat是一个具有多种传播功能和反杀毒软件功能的下载者病毒,传播方式新颖独特,需要严密防范!下面是该病毒的详细分析报告:
病毒初始化过程:
1.创建一个互斥量:中华吸血鬼2.2
2.删除SOFTWARE\Microsoft\Active Setup\Installed
Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
3.释放如下副本或文件:
%systemroot%\Tasks\绿化.bat
%systemroot%\
%systemroot%\Tasks\wsock32.dll
4.之后创建很多线程,执行多种病毒功能:
(1)通过GetWindowTextA函数获得窗口标题,并比较是否含有如下字样
如果含有则使用PostMessage函数会发送消息给他们:
首先发送一个WM_Destroy,之后发送两个WM_Close 最后发一个WM_Destroy 的消息。并把窗口标题名保存下来。
之后会调用Messageboxa函数弹出一个标题为"Windows盗版验证为"的窗口
并显示如下字样“安全提示:您正在使用的(刚刚获得的窗口标题名称)是盗版软件,可能您是盗版软件的受害者,为了给合法用户提供保证,我们无法继续给您提供服务,请到指定销售商购买我们的正版软件,如果有任何疑问,请到我们微软主页查看www.microsoft”
(2) 破坏冰刃
查类名为Afxcontrolbar423s的窗口
然后发送WM_Close关闭 再模拟键盘输入按一下回车键
(3) U盘传播功能
检测可移动存储中是否有autorun.inf文件,如果有将其改名
之后向里面写入autorun.inf
创建recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夹,在该文件夹内写入(病毒文件)
(4) 病毒感染统计
搜集被感染主机的mac地址,并把被感染主机的mac地址和感染的病毒版本发送给www.*******/tj/ct.asp页面
(5) 修改hosts文件
获得%programfiles%的环境变量,接着查[url=file://drivers/etc//hosts]\\drivers\etc\\hosts[/url]文件
每1秒循环一次
(6) 遍历进程,调用Terminate Process函数结束如下进程:
<
<
<
<
(7) 遍历磁盘文件删除扩展名为gho,GHO,Gho的文件
(8) arp欺骗功能
获取本机IP地址 然后把所在同网段内的.2~.255的机器作为欺骗对象
由系统目录下的arps执行%s -idx 0 -ip %s -port 80 -insert \"%s的命令 对局域网内机器进行arp欺骗
(9) 局域网弱密码猜解传播
以administrator为用户名,对局域网中其他机器进行密码猜解。如果成功则复制到对方机器的共享的C,D,E,F盘中,以
(10)删除HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings键
释放一个hackchen.vbs到%systemroot%\Tasks
hackchen.vbs
内容:
On Error Resume Next
Set rs=createObject("Wscript.shell")
rs.run "%windir%\",0
并且注册HKLM\SOFTWARE\Microsoft\Active Setup\Installed
Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
指向%systemroot%\Tasks\hackchen.vbs
(11)
病毒自动更新功能。在系统目录下释放meupdate.ini文件,并且和www.*******/22.txt做比较,如果不同则下载www.*******/(最新版病毒程序)到c:\_default.pif,并且每600ms执行一次
(12)通过查%ProgramFiles%的环境变量获得程序文件夹路径,之后查[url=file://winrar//]\\WinRAR\\[/url]获得winrar安装路径。
遍历所有分区的.rar,.zip,.tgz,.cab,.tar文件 到后
后台调用winrar执行"(winrar路径)" -ep a "(到的rar等文件路径)" %systemroot%\Tasks\绿化.bat 命令
将绿化.bat压缩进压缩包,绿化.bat即为病毒本身,诱使用户点击中毒。
(13)(此方法十分新颖)
遍历所有文件夹并且将%systemroot%\Tasks\wsock32.dll 复制到每个文件夹下
当该文件夹下的exe文件的导入表含有wsock32.dll的时候,会首先调用同文件夹下的wsock32.dll,也就是病毒释放的文件。此时会从下载www.*******/(病毒最新版本)并执行!!!
(14)
查某些类名为#32770的窗口,并且试图发送"我做了快一个月了,每天2个小时有40-50元的收入,你也来看看吧,长期大量招聘网络兼职www.*******/jianzhi.htm"的消息给对方(应该是通过QQ之类的聊天工具传播)
(15) 遍历非系统分区的html,aspx,htm等文件 写入iframe代码
(16)下载木马功能
下载www.*******/
www.*******/
并执行
清除方法不作赘述,安全模式下清理所有文件夹下的wsock32.dll,
并利用工具清理%systemroot%\Tasks\绿化.bat
shell创建文件并写入内容%systemroot%\
并打开所有压缩包文件 删除里面的绿化.bat。
最后使用杀毒软件全盘杀毒
这也是一个浩大的工程吧~~
综观此病毒有很多新颖之处,首先是在关闭杀软之后弹出窗口,容易给不知情者以迷惑;其次病毒释放的wsock32.dll会使得任意该目录下的exe文件成为下载病毒文件的傀儡;再次由于windows的某些保护,tasks目录下的文件无法直接看到,这又给病毒了一个绝佳的藏身之地;最后,病毒还会将自己压缩到压缩包中,起一个诱惑的名字诱使用户再次中毒。
最近恶性病毒以及木马肆虐,但此类行为特征新颖的病毒也有所猖獗,望大家做好防范!
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论