病毒相关分析
该病毒伪装成windows升级程序,不明真相的用户很可能会被骗点击该文件。超级巡警在捕获该样本后,对样本进行了详细的分析。该病毒运行后释放病毒副本到各个逻辑驱动器的根目录下,修改系统时间,对安全软件进行映像劫持,使安全软件失效,删除安全模式相关键值,并卸载杀毒软件的主动防御,连接网络下载病毒,严重的干扰了用户使用计算机并威胁用户计算机系统安全。超级巡警提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。
一、病毒相关分析:
病毒标签:
病毒名称:Worm.Win32.Autorun.emj
病毒类型:蠕虫
危害级别:4
感染平台:Windows
病毒大小:15,443 字节
SHA1 : 27229E074D889C5EC8C3E0CEA9F4A35F242017EE
加壳类型:NsPack
开发工具:Microsoft Visual C++
病毒行为:
1、病毒运行以后释放文件:
%HomeDrive%autorun.inf
%HomeDrive%MSDOS.EXE
%DriveLetter%autorun.inf
%DriveLetter%MSDOS.EXE
%HomeDrive%o.exe
2、调用sfc_os.dll下的第五号函数,关闭windows文件保护,将病毒文件beep.sys复制到%system%drivers文件夹下替换正常的beep.sys,病毒文件beep.sys的作用是屏蔽杀毒软件的主动防御。
3、调用SetLocalTime函数将系统时间修改为2004年7月22日,使衍生文件的创建时间都为2004年7月22日,衍生病毒文件不容易被用户察觉。
4、调用命令行修改文件访问的权限:
命令行:"C:WINDOWSsystem32cacls.exe" c:windowssystem32packet.dll /e /p everyone:f
命令行:"C:WINDOWSsystem32cacls.exe" c:windowssystem32pthreadVC.dll /e /p everyone:f
命令行:"C:WINDOWSsystem32cacls.exe" c:windowssystem32wpcap.dll /e /p everyone:f
命令行:"C:WINDOWSsystem32cacls.exe" c:windowssystem32driversnpf.sys /e /p everyone:f
命令行:"C:WINDOWSsystem32cacls.exe" c:windowssystem32npptools.dll /e /p everyone:f
命令行:"C:WINDOWSsystem32cacls.exe" c:windowssystem32driversacpidisk.sys /e /p everyone:f
命令行:"C:WINDOWSsystem32cacls.exe" c:windowssystem32wanpacket.dll /e /p everyone:f
命令行:"C:WINDOWSsystem32cacls.exe" c:Documents and SettingsAll Users「开始」菜单程序启动 /e /p everyone:f
网友评论