|
|
<BR><P><FONT size=3><STRONG>win32.downloader.b病毒中毒情况及win32.downloader.b病毒分析:</STRONG></FONT></P>
<P><FONT size=2>今天接到了好几起感染这个病毒的案例 分析了一下 这个病毒就是先前的罗姆病毒的新变种<BR><I><I><I><I><I><I><I>File:</I></I></I></I></I></I></I> <STRONG>Windows.scr<BR></STRONG>Size: 28024 bytes<BR>Modified: 2007年9月11日, 23:49:55<BR>MD5: E47C0D7E26B63E44DD5929618E64FD57<BR>SHA1: 072597E8C7D3F6FD3644919414245BCE42317C33<BR>CRC32: 4E29C95D<BR><BR>1.生成如下文件:<BR>C:\Program Files\Common Files\<STRONG>fjOs0r.dll</STRONG><BR>C:\Program Files\Internet Explorer\OnlO0r.bak(就是<STRONG>windows.scr</STRONG>文件)<BR>C:\Program Files\Internet Explorer\OnlO0r.dll<BR>C:\Program Files\Internet Explorer\OnlO0r.obk<BR><BR><STRONG>fjOs0r.dll</STRONG>和<STRONG>OnlO0r.dll</STRONG>注入到Explorer进程中以及由Explorer启动的进程中<BR><BR>2.添加注册表键值<BR>HKCR\CLSID\{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}\InProcServer32<BR>指向C:\Program Files\Internet Explorer\OnlO0r.dll<BR>HKCR\CLSID\{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}\InProcServer32<BR>指向HKCR\CLSID\{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}\InProcServer32<BR>达到开机自动加载的目的<BR><BR>3.如果有新的移动存储设备插入电脑,则往里面写入<STRONG>windows.scr</STRONG>和<STRONG>autorun.inf</STRONG>文件<BR><BR>4.通过遍历HKEY_LOCAL_MACHINE下 相关软件的installpath,ProgramPath,Folder,InstallDir,Installed Path等的键值 获得某些安全软件的<BR><BR>安装目录,比如360安全卫士,瑞星杀毒软件,诺顿等<BR>在这些安全软件的目录中创建MFC42.DLL的文件夹<BR><B>导致杀毒软件应用程序初始化失败,出现(0xc00000ba)错误</B><BR>并在MFC42.DLL文件夹下生成歧义文件夹10I11O10..\导致windows下无法删除该文件夹<BR><BR>5.感染除系统分区外的exe文件<BR>被感染文件被加入2092个字节的代码 被感染文件创建时间被改为1620年或者1619年<BR>被感染文件被加入的代码具备下载功能 能够联网下载病毒主程序<BR>被感染文件瑞星报Win32.Downloader.b<BR><BR><BR>6.由Explorer.exe连接网络<BR>读取http://www.*.org/Data/No.txt配置文件<BR>下载木马和病毒<BR>http://*/Images/Hide/1.exe<BR>http://*/Images/Hide/2.exe<BR>http://*/Images/Hide/3.exe<BR>http://*/Images/Hide/4.exe<BR>http://*/Images/Hide/5.exe<BR>http://*/Images/Hide/6.exe<BR>http://*/Images/Hide/7.exe<BR>http://*/Images/Hide/8.exe<BR>http://*/Images/Hide/9.exe<BR>http://*/Images/Hide/10.exe<BR>http://*/Images/Hide/11.exe<BR>http://*/Images/Hide/12.exe<BR>http://*/Images/Hide/13.exe<BR>http://*/Images/Hide/14.exe<BR>http://*/Images/Hide/15.exe<BR>http://*/Images/Hide/16.exe<BR>http://*/Images/Hide/M2.exe<BR>http://*/Images/Hide/smss.exe<BR>到%Temp%文件夹<BR>其中M2.exe为病毒主程序的最新版本(即病毒具有在线更新功能)<BR>前面说的被感染的exe文件 也是连接网络下载这个文件</p><p align='center'><b><font color='red'>[1]</font> <a href='http://www.hotbus.cn/it/200710/3734_2.html'>[2]</a> <a href='http://www.hotbus.cn/it/200710/3734_3.html'>[3]</a> <a href='http://www.hotbus.cn/it/200710/3734_4.html'>[4]</a> <a href='http://www.hotbus.cn/it/200710/3734_2.html'>下一页</a> </b></p> <BR>
|
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡