病毒详细分析:
当用户访问站点的时候,弹出一个控件下载窗口提示用户下载安装,表面上称自己是提供中文实名服务,引诱用户安装;
在安装过程中多处修改用户文件及注册表;
添加文件:
在Documents and SettingsAll Users「开始」菜单程序网络实名 目录下添加:
了解网络实名详细信息。url 86 字节
清理上网记录。url 100 字节
上网助手。url 99 字节
卸载网络实名。lnk 1,373 字节
修复浏览器。url 103 字节
在WINDOWSDownloaded Program Files 下添加:
assis.ico 5,734 字节
cns02.dat 1,652 字节
CnsHook.dll 56,320 字节
CnsMin.cab 116,520 字节
CnsMin.dll 179,712 字节
CnsMin.inf 378 字节
sms.ico" 6,526 字节
yahoomsg.ico 5,734 字节
在WINDOWSSystem32Drivers 目录下添加:
CnsminKP.sys
添加注册表键值:
增加HKEY_LOCAL_MACHINESOFTWARE3721 主键,下设多子键及属性值;
在HKEY_LOCAL_MACHINESOFTWAREClassesCLSID 主键下增加
两个子键
在HKEY_LOCAL_MACHINESOFTWAREClasses主键下增加
CnsHelper.CH
CnsHelper.CH.1
CnsMinHK.CnsHook
CnsMinHK.CnsHook.1四个子键
在HKEY_LOCAL_MACHINESOFTWAREClassesInterface主键下增加子键
在HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib主键下增加
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions主键下增加!CNS子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions 主键下增加
五个子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearch主键下增加
CustomizeSearch
OcustomizeSearch
SearchAssistant
OsearchAssistant 四个子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionExplorerShellExecuteHooks主键下增加子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun下增加CnsMin子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce下增加EK_Entry 子键 (提示,这个键将在下次启动机器的时候生效,产生最令人头疼的部分,后文会叙述)
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionUninstall下增加CnsMin 子键
在HKEY_CURRENT_USERSoftware下增加3721子键
在HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下增加
CNSAutoUpdate
CNSEnable
CNSHint
CNSList
CNSMenu
CNSReset
在重新启动计算机后,上面提到的RunOnce下的EK_Entry生效,在注册表中多处生成最为邪恶的CnsMinKP键值,同时在系统盘的windows/system32/drivers目录下生成CnsMinKP.sys文件,噩梦由此开始。
由于win2k/xp在启动的时候(包括安全模式)默认会自动运行windows/system32/drivers下面的所有驱动程序,于是CnsMinKP.sys被加载,而这个驱动的作用之一,就是保证windows/ Downloaded Program Files目录下的Cnshook.dll和CnsMin.dll以及其自身不被删除;Cnshook.dll的作用则是提供中文实名功能,CnsMin.dll作用在于使其驻留在ie进程内的时候。CnsMin为了保证自己的优先级最高,用了一个定时器函数反复安装钩子,因此造成系统性能下降,在天缘测试的那台机器上,使得性能大概下降了20%左右。而且由于hook强行挂接的原因,当用户使用断点调试程序的时候将会导致频繁出错,这一点与早期版本的cih导致winzip操作和无法关机类似(关于详细的技术细节,可参看题目为《[转载]3721驻留机制简单研究》一文,原作者Quaful@水木清华) 本文:http://www.qqread.com/virus/z722128207.html
更多内容请看QQ病毒、手机病毒揭密、病毒专栏专题,或进入讨论组讨论。
当用户访问站点的时候,弹出一个控件下载窗口提示用户下载安装,表面上称自己是提供中文实名服务,引诱用户安装;
在安装过程中多处修改用户文件及注册表;
添加文件:
在Documents and SettingsAll Users「开始」菜单程序网络实名 目录下添加:
了解网络实名详细信息。url 86 字节
清理上网记录。url 100 字节
上网助手。url 99 字节
卸载网络实名。lnk 1,373 字节
修复浏览器。url 103 字节
在WINDOWSDownloaded Program Files 下添加:
assis.ico 5,734 字节
cns02.dat 1,652 字节
CnsHook.dll 56,320 字节
CnsMin.cab 116,520 字节
CnsMin.dll 179,712 字节
CnsMin.inf 378 字节
sms.ico" 6,526 字节
yahoomsg.ico 5,734 字节
在WINDOWSSystem32Drivers 目录下添加:
CnsminKP.sys
添加注册表键值:
增加HKEY_LOCAL_MACHINESOFTWARE3721 主键,下设多子键及属性值;
在HKEY_LOCAL_MACHINESOFTWAREClassesCLSID 主键下增加
两个子键
在HKEY_LOCAL_MACHINESOFTWAREClasses主键下增加
CnsHelper.CH
CnsHelper.CH.1
CnsMinHK.CnsHook
CnsMinHK.CnsHook.1四个子键
在HKEY_LOCAL_MACHINESOFTWAREClassesInterface主键下增加子键
在HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib主键下增加
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions主键下增加!CNS子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions 主键下增加
五个子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearch主键下增加
CustomizeSearch
OcustomizeSearch
SearchAssistant
OsearchAssistant 四个子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionExplorerShellExecuteHooks主键下增加子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun下增加CnsMin子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce下增加EK_Entry 子键 (提示,这个键将在下次启动机器的时候生效,产生最令人头疼的部分,后文会叙述)
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionUninstall下增加CnsMin 子键
在HKEY_CURRENT_USERSoftware下增加3721子键
在HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下增加
CNSAutoUpdate
CNSEnable
CNSHint
CNSList
CNSMenu
CNSReset
在重新启动计算机后,上面提到的RunOnce下的EK_Entry生效,在注册表中多处生成最为邪恶的CnsMinKP键值,同时在系统盘的windows/system32/drivers目录下生成CnsMinKP.sys文件,噩梦由此开始。
由于win2k/xp在启动的时候(包括安全模式)默认会自动运行windows/system32/drivers下面的所有驱动程序,于是CnsMinKP.sys被加载,而这个驱动的作用之一,就是保证windows/ Downloaded Program Files目录下的Cnshook.dll和CnsMin.dll以及其自身不被删除;Cnshook.dll的作用则是提供中文实名功能,CnsMin.dll作用在于使其驻留在ie进程内的时候。CnsMin为了保证自己的优先级最高,用了一个定时器函数反复安装钩子,因此造成系统性能下降,在天缘测试的那台机器上,使得性能大概下降了20%左右。而且由于hook强行挂接的原因,当用户使用断点调试程序的时候将会导致频繁出错,这一点与早期版本的cih导致winzip操作和无法关机类似(关于详细的技术细节,可参看题目为《[转载]3721驻留机制简单研究》一文,原作者Quaful@水木清华) 本文:http://www.qqread.com/virus/z722128207.html
更多内容请看QQ病毒、手机病毒揭密、病毒专栏专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- U盘病毒auto.exe的手工清除方法 (211次浏览)
- 网络分析软件:ARP病毒爆发了谁干的? (92次浏览)
- 安全技巧:关于ARP病毒造成断网的处理方法 (81次浏览)
- ARP病毒新罪首 查杀处理有绝招 (80次浏览)
- 关于ARP病毒造成断网的处理方法 (69次浏览)
- 针对ARP病毒攻击防治的进阶经验谈 (62次浏览)
- 资深网管谈ARP欺骗类病毒的防治思路 (62次浏览)
- PPPOE上网 轻松防范风络ARP病毒 (39次浏览)
- 认清本质 计算机病毒防治常遇问题 (32次浏览)
- 年终盘点 2007年十大计算机流行病毒 (17次浏览)
