针对使用“VC++”编写的“下载者”病毒的安全解决计划

    该样本是使用“VC++”编写的“下载者”，长度为“22,528”字节，使用“exe”扩展名，通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是下载病毒木马。当用户计算机感染此木马病毒后， 用户中毒后会出系统运行缓慢无故报错，网络访问异常，并且发现未知进程等现象。

　　    感染对象：

    Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

    传播途径：

    文件捆绑、网页挂马、下载器下载

    病毒分析：

    1.病毒建立互斥体变量名：“ACDTEST……”，主要防止程序多次运行。

    2.病毒获得系统目录路径，将“C:WINDOWSSystem32userinit.exe”与病毒自身比较，是否注入其中进程，如果注入成功，通过外部命令执行“C:WINDOWSexplorer.exe” 打开应用程序。

    3.如果注入不成功，将病毒文件提升到“SeDebugPrivilege”的访问权限，并建立及修改注册表的信息：

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

    名称：Kav

    数据：C:WINDOWSSystem32kav.exe

    以到达自启动的目的。

    4.病毒建立线程，从指定网站下载hosts文件替换掉本地用户hosts文件并且将hosts文件修改为系统隐藏属性，屏蔽以下安全软件，

     并且将操作系统版本，网卡地址，主机名等发到黑客指定的网站。

    5.病毒获得临时文件路径，在该目录下创建%Temp%ope1.tmp, 从指定网址下载大量病毒木马到临时文件运行，然后自删除。

    病毒创建文件：

    %SystemRoot%system32driversetchosts

    %Temp%ope1.tmp

[page]    病毒创建注册表：

   HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

    名称：Kav

    数据：C:WINDOWSSystem32kav.exe

    病毒访问网络：

    *****.info:9550/10825host/1002.txt

    *****.info:3352/count.aspx

    *****.info:9550/id/ud.txt

    手动解决办法：

    手动删除文件

    1.删除 %Temp%ope1.tmp

    2.删除 病毒源程序

    3.导入正确的hosts文件

    手动删除注册表

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

    名称：Kav

    数据：C:WINDOWSSystem32kav.exe

    变量声明：

    %SystemDriver%　　　　　　　系统所在分区，通常为“C:”

    %SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:Windows”

    %Documents and Settings%　　用户文档目录，通常为“C:Documents and Settings”

    %Temp%　　　　　　　　　　　临时文件夹，通常为“C:Documents and Settings当前用户名称Local SettingsTemp”

    %ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:ProgramFiles”

（编辑：南平站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!