这是由机器狗病毒入侵后,下载的数10个病毒的一种,众所周知,AV终结者病毒也是一个下载器。可以想像被机器狗和AV终结者病毒联手蹂躏之后,用户的电脑会成什么状况。
该病毒更详尽的分析恕不能发表,详细分析的结果令人惊讶,并且肯定是一份病毒爱好者的上好教程,其它造病毒者稍加点拨,可能引来众多效仿者。其后果,就会让更多的网民遭受更大的损失和困扰。
以下内容节自金山毒霸反病毒中心对该病毒的详细分析报告修改后的可公开版本。
该DLL样本是木马病毒,它会:
(1)检测是否在虚拟机中运行以避免被放在虚拟机中调试。
(2)在系统目录、QQ、TM、QQGame目录下释放病毒文件副本。
(3)下载病毒文件,改名为wsock32.dll,保存到QQ、TM、TM2008、QQGame的安装目录下。此外,病毒还会删除QQ、TM、TM2008、QQGame在注册表中的部分子键和键值,让其他程序难以准确定位释放的病毒文件的路径。
(4)设置ShellServiceObjectDelayLoad启动项,让系统目录下的副本dll随系统自动运行。
(5)建立软件特征库,根据文件名特征、版本信息特征、文件数据特征检查当前系统中的进程,结束被匹配到的进程,删除进程文件。
包括:ollydbg.ini,Libclsid.dat, KNetWch.SYS,mmskskin.dll,Iereset.dll,KASearch.DLL,Rsaupd.exe,libdll.dat, CleanHis.dll,WoptiClean.sys,kakalib.def,kkinst.ini,KAVBootC.sys,Ras.exe, iehelp.exe,trojandetector.exe,KAConfig.DLL,KAVPassp.DLL,KKClean.dll, VirUnk.def,AntiActi.dll账Smallfrogs,Micropoint,ArSwp,360safe,Duba,毒霸, Kingsoft
(6)HookRegEnumValueW账RegEnumValueA账RegOpenKeyExA账CreateFileA账CreateFileW,并创建线程不断检查,以保护自身的键值不被删除。
(7)删除子键HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal账破坏安全模式;
删除键值HKLM\System\CurrentControlSet\Control\SessionManager\PendingF
ileRenameOperations,阻止MoveFileEx的重启后删除文件功能;
(8)删除 QQ、TM、TM2008、QQGame 在注册表中的子键,删除列表为:
| HKLM\Software\tencent\qq HKLM\Software\Tencent\TM\Bin HKLM\Software\Tencent\TM20008\Bin HKLM\Software\Tencent\QQGame\Sys |
(10)定期下载升级信息,根据升级信息更新文件数据特征库。
(11)作为媒介为其他病毒提供侵入用户系统和升级病毒版本的服务。病毒会比较升级信息中给出要安装的其他病毒的版本和系统中该病毒的版本,若没有安装这些病毒或版本较低,下载新版本的病毒安装到用户系统上。
保留地址 http://www.qqread.com/virus/r400813.html
更多内容请看QQ病毒、手机病毒揭密、病毒专栏专题,或进入讨论组讨论。
相关专题
- 瑞星21日病毒播报:包含病毒链接的邮件 (0次浏览)
- 做好预防 春节前后最易爆发的三类病毒 (0次浏览)
- 尝试简单易用新方法 清除顽固病毒和程序 (0次浏览)
- 抛弃杀毒软件!只用10大免费服务 (0次浏览)
- 江民01月17日病毒播报:弹恶意广告的木马 (0次浏览)
- 瑞星01月17日病毒播报:自动刷流量的木马 (0次浏览)
- 木马PSW.Win32.OnLineGames.kuu分析 (0次浏览)
- “黑冰蠕虫”创建感染doc和xls的宏病毒 (0次浏览)
- 警惕:Qvod Player播放器0day漏洞曝光 (0次浏览)
- Wrom.Win32.Anilogo.b蠕虫清除办法 (0次浏览)
