病毒周报
“偷取者”(Trojan/Win32.BHO.anbp)威脅級別:★★
?
該病毒為木馬類,病毒運行后衍生病毒文件到系統目錄下,并刪除自身。修改注冊表,添加啟動項,以達到隨機啟動的目的。病毒的dll文件隨IEXPLORER.EXE進程的啟動而啟動,進行劫持瀏覽器,鍵盤記錄等相關病毒行為。主動連接網絡,開啟本地端口,下載相關病毒文件信息。該病毒通過惡意網站、其它病毒/木馬下載傳播,可以進行劫持瀏覽器,鍵盤記錄,盜取用戶敏感信息。
?
“修改者木馬”(Trojan/Win32.StartPage.aggp[Dropper]) 威脅級別:★★
?
該病毒為木馬類,病毒運行后遍歷進程,查找殺軟相關進程并關閉;刪除桌面上的IE瀏覽器圖標,創建一個執行指定主頁的網站,在系統目錄下衍生病毒配置文件,修改host文件屏蔽部分網址導航網站并將其導航到指定頁面;修改注冊表添加啟動項,修改ie瀏覽器的默認主頁;連接指定的網站發送本地用戶相關的信息。
“QQ大盜”(Trojan/Win32.QQPass.yia) 威脅級別:★★
? ? 該病毒為QQ盜號木馬,運行后病毒生成dll到%System32%目錄下,病毒掃描系統是否安裝360殺毒、360安全衛士等360查殺軟件,如果有,則修改其系統目錄,使之不能正常運行,以達到降低系統安全性的目的。掃描系統進程,直至查找到QQ.exe,結束該進程并判斷其版本。重啟QQ.exe,并通過鍵盤記錄的方式獲得用戶的賬號和密碼,通過網絡方式上傳到病毒作者指定的鏈接。
?
“vb木馬”(Trojan/Win32.VB.alay)威脅級別:★★
? ? 該病毒為木馬類,病毒運行后復制自身到系統目錄,衍生病毒文件。修改注冊表,添加啟動項,以達到隨機啟動的目的。添加防火墻規則到Windows Firewall授權軟件列表,使病毒穿透防火墻不受阻擋。強行設置主頁,修改hosts文件信息。主動連接網絡,下載相關病毒文件信息。
“網絡僵尸變種”(Trojan/Win32.Agent.ayqh[Dropper]) 威脅級別:★★
? ? 該惡意代碼文件為DDOS網絡僵尸類木馬,病毒運行后,會釋放驅動文件并將自身復制到系統目錄下、創建注冊表病毒服務,并通過以服務方式啟動病毒、試圖恢復SSDT來躲避安全軟件的主動防御檢測,開啟一個SVCHOST進程將病毒代碼寫入該進程中連接到病毒作者的IP地址等待控制端發送控制指令、這個病毒具有自我更新功能!被感染的用戶會被控制端發起DDOS攻擊命令利用感染用戶的寬帶來指定DDOS一個或者多個IP和域名地址給用戶造成短時間內網絡癱瘓的可能。
“QQ大盜”(Trojan/Win32.QQPass.fxs) 威脅級別:★★
? ? 該病毒為QQ盜號木馬,運行后病毒生成comres.dll到%System32%目錄下,病毒掃描系統是否安裝360殺毒、360安全衛士等360查殺軟件,如果有,則修改其系統目錄,使之不能正常運行,以達到降低系統安全性的目的。掃描系統進程,直至查找到QQ.exe,結束該進程并判斷其版本。重啟QQ.exe,并通過鍵盤記錄的方式獲得用戶的賬號和密碼,通過網絡方式上傳到病毒作者指定的鏈接。
?
“偷取者”(Trojan/Win32.BHO.amxk)威脅級別:★★
? ? 該病毒為木馬類,病毒運行后衍生病毒文件到系統目錄下,并刪除自身。修改注冊表,添加啟動項,以達到隨機啟動的目的。病毒的dll文件隨IEXPLORER.EXE進程的啟動而啟動,進行劫持瀏覽器,鍵盤記錄等相關病毒行為。主動連接網絡,開啟本地端口,下載相關病毒文件信息。該病毒通過惡意網站、其它病毒/木馬下載傳播,可以進行劫持瀏覽器,鍵盤記錄,盜取用戶敏感信息。
“偽殺毒軟件”(Trojan/Win32.FraudLoad.xfpr[Downloader]) 威脅級別:★★
? ? 該惡意代碼文件為偽殺毒軟件,病毒偽裝成WINDOWS自動升級程序,這個病毒文件會修改注冊表破壞系統的安全性,偽裝系統的安全威脅提示,禁用WINDOWS任務管理器、釋放多個病毒文件到臨時目錄下、添加注冊表啟動項,連接網絡下載偽殺毒軟件安裝后自動掃描系統目錄,將多個系統正常文件誤報為病毒文件、提示用戶刪除,當用戶點擊刪除之后偽殺毒軟件要求用戶購買才可以清除,欺騙用戶購買該偽殺毒軟件。
“灰鴿子變種”(Backdoor/Win32.Hupigon.mgcu) 威脅級別:★★
? ? 該病毒為灰鴿子變種,病毒運行后復制自身到系統目錄,重命名,并刪除自身。創建服務,以服務的方式達到隨機啟動的目的。連接網絡下載遠程控制端IP地址,主動嘗試上線。上線成功后,遠程控制端能夠對用戶機器進行鍵盤記錄,屏幕監控,攝像頭抓圖,文件操作,進程操作等遠程控制。
?
“木馬間諜”(Trojan/Win32.Delf.afkf[SPY])威脅級別:★★
? ? 該病毒為木馬類,病毒運行后復制自身到系統目錄,衍生病毒文件,并刪除自身。修改注冊表,添加啟動項,以達到隨機啟動的目的。關閉Windows自動更新,關閉Windows自帶防火墻。通過惡意網站、其它病毒/木馬下載傳播;該病毒具有間碟功能,可以盜取用戶敏感信息。
“偷取者”(Trojan/Win32.OnLineGames.xdlc[GameThief]) 威脅級別:★★
? ? 該病毒為木馬類,病毒運行后復制自身到系統目錄,并重命名,衍生病毒文件,并刪除自身。修改注冊表,添加服務項,以達到隨機啟動的目的。刪除注冊表中的服務項,修改注冊表項以關閉錯誤報告。主動連接網絡,更新病毒文件,下載相關病毒文件信息。該病毒通過惡意網站、其它病毒/木馬下載傳播,可以盜取用戶敏感信息。
“vb木馬”(Trojan/Win32.VB.fli) 威脅級別:★★
? ? 該病毒為木馬類,病毒運行后復制自身到系統目錄,衍生病毒文件。修改注冊表,添加啟動項,以達到隨機啟動的目的。添加防火墻規則到Windows Firewall授權軟件列表,使病毒穿透防火墻不受阻擋。強行設置主頁,修改hosts文件信息。主動連接網絡,下載相關病毒文件信息。
“AV殺手”(Trojan/Win32.Geral.vng[Downloader]) 威脅級別:★★
? ? 該惡意程序為反制安全軟件的木馬,尤其針對卡巴斯基。惡意程序遍歷進程查找AVP.EXE,找到之后試圖關閉其進程,并添加注冊表映像劫持、劫持多個系統進程和安全軟件,另外病毒會創建一個驅動設備偽裝成系統驅動設備來隱藏自身,病毒運行完畢后刪除自身,并試圖連接網絡發送安裝統計信息。
?
“偷取者”(Trojan/Win32.BHO.akza)威脅級別:★★
? ? 該病毒為木馬類,病毒運行后衍生病毒文件到系統目錄下,并刪除自身。修改注冊表,添加啟動項,以達到隨機啟動的目的。病毒的dll文件隨IEXPLORER.EXE進程的啟動而啟動,進行劫持瀏覽器,鍵盤記錄等相關病毒行為。主動連接網絡,開啟本地端口,下載相關病毒文件信息。該病毒通過惡意網站、其它病毒/木馬下載傳播,可以進行劫持瀏覽器,鍵盤記錄,盜取用戶敏感信息。
“隱秘者”(Trojan/Win32.TDSS.bkrp[Rootkit]) 威脅級別:★★
? ? 該病毒運行之后,復制自身到%Temp%目錄下,使用Rootkit技術在系統中隱藏自身行為,連接網絡下載3個病毒文件(該病毒文件下載的文件可能隨時間變化不定),將下載的病毒文件保存到%Temp%目錄下,病毒運行完畢后刪除自身文件。病毒會連接網絡下載文件并運行。
?
“間諜木馬”(Trojan/Win32.Zbot.anvs[SPY])威脅級別:★★
? ? 病毒運行后,復制自身到%System32%目錄下,在該目錄下衍生多個文件;修改注冊表,使衍生的文件伴隨userinit.exe啟動以及將病毒文件加入到CMD.EXE的調用擴展中;將病毒主體添加到卡巴斯基反病毒軟件的信任區域;為卡巴斯基添加新規則開放最大權限;繞過金山反病毒軟件的主動防御;病毒運行完畢后刪除自身。該病毒會連接網絡向外發送本地機器的相關信息、下載病毒的最新版本到IE臨時目錄并執行,從而盜取或控制用戶的計算機。
“代理木馬”(Trojan/Win32.Agent.cyse) 威脅級別:★★
? ? 該病毒為木馬類,病毒運行后復制自身到系統目錄,并重命名,衍生病毒文件,并刪除自身。修改注冊表,添加服務項,以達到隨機啟動的目的。刪除注冊表中的服務項,修改注冊表項以關閉錯誤報告。主動連接網絡,更新病毒文件,下載相關病毒文件信息。該病毒通過惡意網站、其它病毒/木馬下載傳播,可以盜取用戶敏感信息。
“修改者木馬”(Trojan/Win32.StartPage.bfz[Dropper]) 威脅級別:★★
? ? 該病毒為木馬類,病毒運行后遍歷進程,查找殺軟相關進程并關閉;刪除桌面上的IE瀏覽器圖標,創建一個執行指定主頁的網站,在系統目錄下衍生病毒配置文件,修改host文件屏蔽部分網址導航網站并將其導航到指定頁面;修改注冊表添加啟動項,修改ie瀏覽器的默認主頁;連接指定的網站發送本地用戶相關的信息。
“支付寶劫持器”(Trojan/Win32.Banker.ue[Banker]) 威脅級別:★★
? ? 該病毒是一個竊取支付寶和銀行賬號的木馬,EXE病毒文件為易語言所寫,病毒運行之后衍生Shells.dll文件到系統目錄下,創建2個隱藏CMD.EXE進程,刪除隊列消息。遍歷進程查找CMD.EXE進程,將衍生的Shells.dll病毒文件注入到CMD進程中,注入成功后彈出一個“文件已損壞!”的信息框誤導用戶以為文件損壞而不懷疑病毒文件,將病毒DLL注入之后調用遠程線程執行病毒代碼。
?
“偷取者”(Trojan/Win32.BHO.ajqx)威脅級別:★★
? ? 該病毒為木馬類,病毒運行后衍生病毒文件到系統目錄下,并刪除自身。修改注冊表,添加啟動項,以達到隨機啟動的目的。病毒的dll文件隨IEXPLORER.EXE進程的啟動而啟動,進行劫持瀏覽器,鍵盤記錄等相關病毒行為。主動連接網絡,開啟本地端口,下載相關病毒文件信息。該病毒通過惡意網站、其它病毒/木馬下載傳播,可以進行劫持瀏覽器,鍵盤記錄,盜取用戶敏感信息。
“控制者”(Backdoor/Win32.Bifrose.czts) 威脅級別:★★
? ? 該病毒為客戶端,根據用戶要求,能生成包括DNS服務器、打開的遠程端口、C/S驗證口令、安裝目錄、啟動注冊表鍵值,是否注射進程等功能的服務端。該病毒運行后,衍生病毒副本到系統目錄%windows%或%System32%下,添加注冊表啟動項,以便在系統啟動后運行,使受感染主機可能被運行有害程序。
“口令偷取木馬”(Trojan/Win32.Patched.jw) 威脅級別:★★
? ? 病毒運行后在系統目錄下創建一個目錄,并衍生多個病毒文件到該目錄下,將衍生的病毒文件創建時間設置為系統的user32.dll文件的創建時間,創建一個hlp.dat到%System32%目錄下,打開系統的spooler服務、調用病毒衍生的驅動文件,執行完畢后刪除自身,將系統的iexplore.exe、winlogon.dat文件拷貝到%Windir%\temp\目錄下作為備份,然后對系統的這2個文件進行感染,修改iexplore.exe、winlogon.dat文件的入口點,使其運行后先執行病毒代碼,添加注冊表項,最后將自身移動到系統目錄下。
?
“騙取者”(Trojan/Win32.QQPass.vor[stealer])威脅級別:★★
? ? 該病毒運行后,創建窗體,調用系統API函數將窗口最小化到托盤,獲取注冊表QQ安裝位置,添加啟動項;釋放加密文件到系統根目錄下,讀取內容后將其刪除;修改系統host文件,使訪問騰訊官方網站、深圳市公證處網站指向惡意網站;遍歷系統進程,反制反病毒軟件;該病毒運行一定時間后會在系統托盤圖標假冒騰訊信息提示,如果雙擊該提示會顯示假冒的騰訊系統消息,并要求用戶點擊查看詳細信息進入惡意網站。
“偷取者”(Trojan/Win32.BHO.ajkw) 威脅級別:★★
? ? 該病毒為木馬類,病毒運行后衍生病毒文件到系統目錄下,并刪除自身。修改注冊表,添加啟動項,以達到隨機啟動的目的。病毒的dll文件隨IEXPLORER.EXE進程的啟動而啟動,進行劫持瀏覽器,鍵盤記錄等相關病毒行為。主動連接網絡,開啟本地端口,下載相關病毒文件信息。該病毒通過惡意網站、其它病毒/木馬下載傳播,可以進行劫持瀏覽器,鍵盤記錄,盜取用戶敏感信息。
“灰鴿子變種”(Backdoor/Win32.Hupigon.limg) 威脅級別:★★
? ? 該病毒為灰鴿子變種,病毒運行后復制自身到系統目錄,重命名,并刪除自身。創建服務,以服務的方式達到隨機啟動的目的。連接網絡下載遠程控制端IP地址,主動嘗試上線。上線成功后,遠程控制端能夠對用戶機器進行鍵盤記錄,屏幕監控,攝像頭抓圖,文件操作,進程操作等遠程控制。
?
“控制者”(Backdoor/Win32.Bifrose.cwvs)威脅級別:★★
? ? 該病毒為客戶端,根據用戶要求,能生成包括DNS服務器、打開的遠程端口、C/S驗證口令、安裝目錄、啟動注冊表鍵值,是否注射進程等功能的服務端。該病毒運行后,衍生病毒副本到系統目錄%windows%或%System32%下,添加注冊表啟動項,以便在系統啟動后運行,使受感染主機可能被運行有害程序。
“霸族變種”(Trojan/Win32.Buzus.faqw) 威脅級別:★★
? ? 該病毒文件對API函數進行了加密處理,病毒運行后解密部分API函數,將自身創建到進程中,讀取內存MZP標志,查找內存空間地址,并比較,申請內存空間將病毒代碼寫入到內存空間,在進程中創建線程釋放病毒文件到%System32%目錄下,修改注冊表使系統文件達到啟動病毒的目的,連接網絡。
“間諜木馬”(Trojan/Win32.Zbot.ahcf[SPY]) 威脅級別:★★
? ? 病毒運行后,復制自身到系統目錄下,在該目錄下衍生多個文件;修改注冊表,使衍生的文件伴隨系統文件啟動而啟動,以及將病毒文件加入到CMD.EXE的調用擴展中;將病毒主體添加到反病毒軟件的信任區域;并繞過反病毒軟件的主動防御;病毒運行完畢后刪除自身。該病毒會連接網絡向外發送本地機器的相關信息、下載病毒的最新版本到IE臨時目錄并執行;盜取或控制用戶的計算機。
“QQ竊取者”(Trojan/Win32.QQPass.ufz[PSW]) 威脅級別:★★
? ? 該惡意代碼文件為QQ盜號木馬,病毒運行后會釋放一個psaip.dll文件到QQ目錄下偽裝成系統DLL文件,然后病毒通過修改QQ目錄下的2個DLL文件達到劫持%SYSTEM32%目錄下的psaip.dll,使QQ加載DLL的動態鏈接庫文件時會加載病毒根目錄下的psaip.dll(病毒文件),一旦病毒DLL被QQ加載之后,病毒會利用非法手段截取QQ賬號密碼發送到作者地址中,該木馬可能只竊取QQ會員賬號。
?
“下載者木馬”(Trojan/Win32.Agent.bydg[Dropper])威脅級別:★★
? ? 該病毒為木馬類病毒,病毒運行后,創建進程加載病毒DLL文件,添加注冊表啟動項,創建相應快捷方式文件到桌面,將病毒dll文件注入到Explorer.exe進程中,調用函數連接網絡打開一個網址并下載病毒文件保存到%System32%目錄下,病毒DLL文件主要行為:當用戶雙擊盤符時會出現該目錄存在威脅的提示并詢問用戶是否下載,當用戶選擇“是”則會連接網絡下載文件,當用戶選擇“否”則會彈出一個網頁模擬本地磁盤,顯示存在的威脅數量并提示用戶是否下載掃描器,嚴重影響用戶對本地磁盤的正常瀏覽。
“QQ竊取者”(Trojan/Win32.QQPass.ufz[PSW]) 威脅級別:★★
? ? 該惡意程序為QQ盜號木馬,病毒運行后會釋放一個psaip.dll文件到QQ目錄下偽裝成系統DLL文件,然后病毒通過修改QQ目錄下的2個DLL文件達到劫持%SYSTEM32%目錄下的psaip.dll,使QQ加載DLL動態鏈接庫文件時會加載病毒根目錄下的psaip.dll(病毒文件),一旦病毒DLL被QQ加載之后,病毒會利用非法手段截取QQ賬號密碼發送到作者指定地址中,該木馬可能只竊取QQ會員賬號。
?
“木馬下載者變種”(Trojan/Win32.Small.kpb[Downloader])威脅級別:★★
? ? 該病毒為木馬類,病毒運行后復制自身到%system32%下,并重命名,之后刪除自身,修改注冊表,添加啟動項,以達到隨機啟動的目的。該病毒以網絡連接的形式傳播,近期比較流行。
“U盤寄生蟲變種”(Worm/Win32.AutoRun.bkev) 威脅級別:★★
? ? 該病毒為蠕蟲類,病毒運行后復制自身到系統目錄下,并衍生病毒文件;修改注冊表,添加啟動項,降低IE瀏覽器的安全性能,鎖定“文件夾選項”中對隱藏文件的顯隱選擇,連接網絡下載病毒文件,并執行;病毒運行完畢后刪除自身。
“控制者”(Backdoor/Win32.Bifrose.cvqg) 威脅級別:★★
? ? 該病毒為客戶端,根據用戶要求,能生成包括DNS服務器、打開的遠程端口、C/S驗證口令、安裝目錄、啟動注冊表鍵值,是否注射進程等功能的服務端。該病毒運行后,衍生病毒副本到系統目錄%windows%或%System32%下,添加注冊表啟動項,以便在系統啟動后運行,使受感染主機可能被運行有害程序。
?
“魔獸竊賊”(Trojan/Win32.WOW.ipo[Stealer])威脅級別:★★
? ? 該惡意代碼文件為魔獸世界游戲盜號木馬,病毒運行后遍歷進程查找avp.exe、ravmond.exe進程,如果2個進程存在任意一個,則會判斷注冊表是否有魔獸世界注冊表項,直到找到該注冊表項為止,如果不存在以上2個進程,則會遍歷進程查找wow.exe、backgrounddownloader.exe進程并將其強行結束,遍歷注冊表查找魔獸世界注冊表鍵值,找到之后刪除魔獸世界目錄下的ksuser.dll文件(如果注冊表不存在魔獸世界鍵值則不衍生),并重新創建一個同名文件到游戲目錄下,將屬性設置為隱藏,創建互斥體防止病毒多次運行,再次遍歷進程查找avp.exe、ravmond.exe進程如果找到進程,則衍生DLL文件到%TEMP%臨時目錄下,使用rundll32.exe啟動衍生的病毒DLL文件,如果進程中不存在以上2個安全軟件進程,則會衍生隨機病毒名文件到%TEMP%臨時目錄下,動態加載衍生的隨機病毒名文件,調用病毒DLL模塊HHHH來設置鉤子,通過消息鉤子截取魔獸世界游戲賬號密碼,將截取的游戲賬號密碼以email和URL方式發送到病毒作者地址中。
“騙取者”(Trojan/Win32.QQPass.vcf[stealer]) 威脅級別:★★
? ? 該病毒運行后,創建窗體,調用系統API函數將窗口最小化到托盤,獲取注冊表QQ安裝位置,添加啟動項;釋放加密文件到系統根目錄下,讀取內容后將其刪除;修改系統host文件,使訪問騰訊官方網站、深圳市公證處網站指向惡意網站;遍歷系統進程,反制反病毒軟件;該病毒運行一定時間后會在系統托盤圖標假冒騰訊信息提示,如果雙擊該提示會顯示假冒的騰訊系統消息,并要求用戶點擊查看詳細信息進入惡意網站。此網站為釣魚網站。
“代理木馬”(Trojan/Win32.Agent.emvl) 威脅級別:★★
? ? 該病毒為木馬類,病毒運行后復制自身到系統目錄,并重命名,衍生病毒文件,并刪除自身。修改注冊表,添加服務項,以達到隨機啟動的目的。刪除注冊表中的服務項,修改注冊表項以關閉錯誤報告。主動連接網絡,更新病毒文件,下載相關病毒文件信息。該病毒通過惡意網站、其它病毒/木馬下載傳播,可以盜取用戶敏感信息。
?
“下載者木馬”(Trojan/Win32.Agent.cjub[Dropper])威脅級別:★★
? ? 該病毒為木馬類病毒,病毒運行后,創建進程加載病毒DLL文件,添加注冊表啟動項,創建相應快捷方式文件到桌面,將病毒dll文件注入到Explorer.exe進程中,調用函數連接網絡打開一個網址并下載病毒文件保存到%System32%目錄下,病毒DLL文件主要行為:當用戶雙擊盤符時會出現該目錄存在威脅的提示并詢問用戶是否下載,當用戶選擇“是”則會連接網絡下載文件,當用戶選擇“否”則會彈出一個網頁模擬本地磁盤,顯示存在的威脅數量并提示用戶是否下載掃描器,嚴重影響用戶對本地磁盤的正常瀏覽。
“木馬間諜”(Trojan/Win32.Delf.fat[SPY]) 威脅級別:★★
? ? 該病毒為木馬類,病毒運行后復制自身到系統目錄,衍生病毒文件,并刪除自身。修改注冊表,添加啟動項,以達到隨機啟動的目的。關閉Windows自動更新,關閉Windows自帶防火墻。通過惡意網站、其它病毒/木馬下載傳播;該病毒具有間碟功能,可以盜取用戶敏感信息。
?
“騙取者”(Trojan/Win32.QQPass.uqw[stealer])威脅級別:★★
? ? 該病毒運行后,創建窗體,調用系統API函數將窗口最小化到托盤,獲取注冊表QQ安裝位置,添加啟動項;釋放加密文件到系統根目錄下,讀取內容后將其刪除;修改系統host文件,使訪問騰訊官方網站、深圳市公證處網站指向惡意網站;遍歷系統進程,反制反病毒軟件;該病毒運行一定時間后會在系統托盤圖標假冒騰訊信息提示,如果雙擊該提示會顯示假冒的騰訊系統消息,并要求用戶點擊查看詳細信息進入惡意網站。此網站為釣魚網站。
“偷取者”(Trojan/Win32.BHO.ahyr) 威脅級別:★★
? ? 該病毒為木馬類,病毒運行后衍生病毒文件到系統目錄下,并刪除自身。修改注冊表,添加啟動項,以達到隨機啟動的目的。病毒的dll文件隨IEXPLORER.EXE進程的啟動而啟動,進行劫持瀏覽器,鍵盤記錄等相關病毒行為。主動連接網絡,開啟本地端口,下載相關病毒文件信息。該病毒通過惡意網站、其它病毒/木馬下載傳播,可以進行劫持瀏覽器,鍵盤記錄,盜取用戶敏感信息。
“竊取者”(Trojan/Win32.Agent.bhta[Rootkit]) 威脅級別:★★
? ? 病毒運行后獲取磁盤類型,如果是可移動磁盤,調用EXPLORER.EXE打開磁盤,創建一個管道"\\.\pipe\{D952F2D0-0BCE-4b2b-8FFF-2317F120FCC3}",遍歷進程查找RavMonD.exe、360tray.exe、MPSVC.exe,如果發現存在以上3個進程調用內核函數強行結束,打開服務設備管理器遍歷系統多個服務試圖修改感染系統服務文件,來啟動執行病毒代碼,如果服務設備管理器打開失敗則創建注冊表服務、衍生病毒DLL文件到%System32%目錄下,利用服務啟動病毒,修改本機HOSTS文件、釋放病毒驅動文件試圖恢復SSDT,添加注冊表映像劫持,劫持多款安全軟件,連接網絡下載偽RAR壓縮包、該包為加密文件、該包內包含大量惡意病毒文件,大部分為盜號木馬!通過病毒解密之后釋放多個病毒文件隱藏運行,獲取磁盤類型,如果發現可移動磁盤則感染磁盤內所有可執行文件,遍歷磁盤類*.EXE和*.rar包內的*.EXE文件在文件尾部添加一個隨機字符節,向文件內寫入184320字節病毒數據,修改入口點指向病毒代碼,在可移動磁盤根目錄下創建一個autorun.inf和文件回收站將病毒文件放入回收站里使其雙擊打開回收站內的病毒文件。
?
“下載者木馬”(Trojan/Win32.Agent.cgfg[Dropper])威脅級別:★★
? ? 該病毒為木馬類病毒,病毒運行后,創建進程加載病毒DLL文件,添加注冊表啟動項,創建相應快捷方式文件到桌面,將病毒dll文件注入到Explorer.exe進程中,調用函數連接網絡打開一個網址并下載病毒文件保存到%System32%目錄下,病毒DLL文件主要行為:當用戶雙擊盤符時會出現該目錄存在威脅的提示并詢問用戶是否下載,當用戶選擇“是”則會連接網絡下載文件,當用戶選擇“否”則會彈出一個網頁模擬本地磁盤,顯示存在的威脅數量并提示用戶是否下載掃描器,嚴重影響用戶對本地磁盤的正常瀏覽。
“QQ游戲竊取器”(Trojan/Win32.Win32.OnLineGames.bnkb[Stealer]) 威脅級別:★★
? ? 該病毒文件為QQ三國游戲盜號木馬,病毒運行后創建互斥體MutexName = "qqsg0312",防止病毒多次運行、遍歷進程查找"QQSG.exe"進程,找到之后強行結束該進程,查找注冊表QQ三國的path位置,如果找到該鍵值則將%Systme32%目錄下的LPK.DLL文件拷貝一份到游戲目錄下命名為"syswim.dll",在游戲目錄下創建一個"qqsginit.dll"、LPK.dll文件并將文件屬性設置為隱藏,如果注冊表找不到游戲鍵值則不執行以上創建文件代碼,遍歷進程找到"avp.exe"、"RavMonD.exe",找到后創建注冊表服務衍生q3g.dll到%TEMP%臨時目錄下,調用rundll32.exe加載衍生的病毒DLL文件,如果找不到以上2個安全軟件進程將%Windir%目錄下的notepad.exe拷貝一份命名為ctfmon.exe,遍歷進程查找ctfmon.exe進程、衍生隨機病毒DLL文件到臨時目錄下,動態加載病毒DLL文件,調用病毒DLL文件的wdon模塊,設置消息鉤子、試圖將病毒DLL注入到所有進程中、查找窗口類名為TT_WebCtrl、container的窗口、通過消息鉤子截取游戲賬號密碼以URL方式將賬號密碼發送到作者指定的地址中。
“代理木馬cppg”(Trojan/Win32.Agent.cpph) 威脅級別:★★
? ? 病毒運行后,衍生文件到系統目錄下,并刪除自身。修改注冊表創建一個服務啟動項,以達到隨機啟動的目的。將動態鏈接庫注入到explorer.exe進程,達到隱藏自身躲避防火墻的目的,并收集各種敏感信息。連接網絡發送信息,并嘗試關閉反病毒軟件。
?
“游戲竊取器”(Trojan/Win32.Win32.OnLineGames.bnjy[Stealer])威脅級別:★★
? ? 該病毒文件為天龍八部游戲盜號木馬,病毒運行后枚舉屏幕上所有的頂層窗口,遍歷進程查找TLBBDownload.bin進程,找到之后強行結束該進程,枚舉注冊表緩存信息鍵值下是否有"\Launch.bi",如果找到該鍵值則將%Systme32%目錄下的LPK.DLL文件拷貝一份到游戲目錄下命名為woool.dll、gametl.dll,如果注冊表找不到天龍八部游戲關鍵鍵值,則創建互斥體"ctlasdfgh",遍歷進程找到"avp.exe"、"RavMonD.exe",找到后創建注冊表服務衍生tl.dll到%TEMP%臨時目錄下,調用rundll32.exe加載衍生的病毒DLL文件,如果找到以上2個安全軟件進程,則衍生隨機病毒名文件到臨時目錄下,并將文件屬性設置為隱藏不可見,動態加載衍生的隨機病毒DLL文件,調用病毒DLL文件的Hookon模塊,試圖將病毒DLL注入到所有進程中,設置消息鉤子攔截鼠標鍵盤消息截取游戲賬號信息,將截取到的游戲賬號及密碼以URL方式發送到作者指定的地址中。
“偽裝者”(Trojan/Win32.Scar.bvoj) 威脅級別:★★
? ? 病毒運行后,釋放一個偽裝的系統文件到系統文件夾下,并刪除木馬自身。該文件用以偽裝Windows系統的幫助文件,并設置該文件屬性為系統隱藏的屬性,使得一般用戶難以察覺。程序運行后,會調用services.exe加載自身為服務項,然后通過修改和調用svchost.exe進程,訪問遠程服務器,伺機接受遠程指令,下載更多惡意程序到受感染計算機,給計算機安全造成重大隱患。
?
“本地磁盤模擬者”(Trojan/Win32.Agent.bpvh[Dropper])威脅級別:★★
? ? 該病毒為木馬類病毒,病毒運行后,創建進程加載病毒DLL文件,添加注冊表啟動項,創建相應快捷方式文件到桌面,將病毒dll文件注入到Explorer.exe進程中,調用函數連接網絡打開一個網址并下載病毒文件保存到%System32%目錄下,病毒DLL文件主要行為:當用戶雙擊盤符時會出現該目錄存在威脅的提示并詢問用戶是否下載,當用戶選擇“是”則會連接網絡下載文件,當用戶選擇“否”則會彈出一個網頁模擬本地磁盤,顯示存在的威脅數量并提示用戶是否下載掃描器,嚴重影響用戶對本地磁盤的正常瀏覽。
“U盤寄生蟲變種”(Worm/Win32.AutoRun.bade) 威脅級別:★★
? ? 該病毒為蠕蟲類,病毒運行后復制自身到系統目錄下,并衍生病毒文件;修改注冊表,添加啟動項,降低ie瀏覽器的安全性能,鎖定“文件夾選項”中對隱藏文件的顯隱選擇,連接網絡下載病毒文件,并執行;病毒運行完畢后刪除自身。
“瘋狂下載者”(Trojan/Win32.Win32.Agent.dkpa[Downloader]) 威脅級別:★★
? ? 該惡意代碼文件為木馬,病毒運行后初始化socket與控制端建立網絡進行通信,如果連接失敗調用函數獲取隨機數,將隨機數作為休眠參數傳給SLEEP函數執行,休眠一段時間再次重新建立連接直到連接成功為止,建立連接成功之后向客戶端發送本機計算機名稱,服務器將返回URL下載連接地址,病毒創建2個線程,線程1負責連接網絡發送請求,線程2負責接收服務器返回的數據,衍生病毒文件到%WINDIR%目錄下,衍生的病毒文件運行后釋放驅動文件恢復SSDT、添加注冊表病毒服務、服務啟動之后刪除驅動文件,拷貝自身到%WINDIR%目錄下命名為csrse.exe,連接網絡下載病毒文件,并嘗試向指定域名請求數據,因下載的病毒文件根據客戶端服務器而變化不固定、可能有盜號木馬和遠程控制類木馬。
?
“間諜木馬”(Trojan/Win32.Zbot.akag[SPY])威脅級別:★★
? ? 病毒運行后,復制自身到%System32%目錄下,在該目錄下衍生多個文件;修改注冊表,使衍生的文件伴隨userinit.exe啟動以及將病毒文件加入到CMD.EXE的調用擴展中;將病毒主體添加到卡巴斯基反病毒軟件的信任區域;為卡巴斯基添加新規則開放最大權限;繞過金山反病毒軟件的主動防御;病毒運行完畢后刪除自身。該病毒會連接網絡向外發送本地機器的相關信息、下載病毒的最新版本到IE臨時目錄并執行,從而盜取或控制用戶的計算機。
“DNF竊賊”(Trojan/Win32.Vilsel.aepw) 威脅級別:★★
? ? 該惡意代碼文件為DNF游戲盜號木馬,病毒運行之后衍生病毒文件到%System32%目錄下命名為2tgfsddaew4refdsd.ime(該后綴名文件為輸入法文件)并將該文件改名為隨機名*.drv(該后綴名文件為設備驅動程序)后綴名文件,然后再次創建一個2tgfsddaew4refdsd.ime到該目錄下,調用輸入法API函數來安裝創建的病毒文件偽裝成(中文(簡體)-智能CBA),因為DNF游戲有Tenprotect網游反外掛引擎保護無法正常將DLL注入到該游戲進程中,所以病毒利用該手段通過用戶切換輸入法方式將病毒DLL注入進游戲進程中,衍生2個DLL文件之后,查找類名"TWINCONTROL"標題名為“地下城與勇士”、“地下城勇士”的窗口,找到之后向該窗口發送關閉消息,調用"rundll32.exe"來加載2tgfsddaew4refdsd.ime文件,將病毒文件注入到Explorer.exe、conime.exe進程中,釋放批處理文件刪除病毒原文件,病毒DLL文件分析:判斷自身模塊是否在DNF進程中,并獲取DNF窗口相關信息,通過內存技術截取賬號密碼,將獲取的賬號密碼發送到作者指定的地址中。
“記錄間諜”(Trojan/Win32.KeyLogger.fqs[Spy]) 威脅級別:★★
? ? 該病毒圖標為jpg格式文件圖標;該文件是由一個圖片文件和一個病毒文件用winrar組成的自解壓復合文件;病毒運行后衍生病毒文件到%Windir%目錄下,衍生圖片文件到%Windir%\temp下,用以迷惑用戶;修改注冊表添加啟動項,使病毒文件隨機啟動;病毒運行后記錄當前用戶的鍵盤操作,保存到%Windir%目錄下的winhlp32.hlp文件中;連接FTP服務器,將捕獲的鍵盤數據發送到指定的目錄。該病毒通過病毒作者向攻擊目標的email地址發送郵件的方式進行傳播。
?
“vb木馬”(Trojan/Win32.VB.afti)威脅級別:★★
? ? 該病毒為木馬類,病毒運行后復制自身到系統目錄,衍生病毒文件。修改注冊表,添加啟動項,以達到隨機啟動的目的。添加防火墻規則到Windows Firewall授權軟件列表,使病毒穿透防火墻不受阻擋。強行設置主頁,修改hosts文件信息。主動連接網絡,下載相關病毒文件信息。
“IE修改器”(Trojan/Win32.StartPage.abps) 威脅級別:★★
? ? 該病毒運行后,衍生病毒文件到%system32%與病毒當前目錄下。添加注冊表加載項以在重新啟動系統后加載病毒體運行。之后會連接某地址下載病毒文件到本機運行。添加計劃任務,以便定時運行,造成強行插入IE插件等影響,給用戶帶來不便。
“U盤寄生蟲”(Worm/Win32.Piloyd.bg[Net]) 威脅級別:★★
? ?? ? 該病毒文件利用U盤傳播自身,當用戶通過USB口插上U盤時病毒會遍歷本地所有磁盤類型,如果發現可移動磁盤則會將病毒文件拷貝到磁盤目錄下,如果系統沒有屏蔽掉自動播放功能將會直接運行病毒,病毒一旦運行之后則會對操作系統造成很大的破壞性。
?
“偷取者”(Trojan/Win32.BHO.agpm)威脅級別:★★
? ? 該病毒為木馬類,病毒運行后衍生病毒文件到系統目錄下,并刪除自身。修改注冊表,添加啟動項,以達到隨機啟動的目的。病毒的dll文件隨IEXPLORER.EXE進程的啟動而啟動,進行劫持瀏覽器,鍵盤記錄等相關病毒行為。主動連接網絡,開啟本地端口,下載相關病毒文件信息。該病毒通過惡意網站、其它病毒/木馬下載傳播,可以進行劫持瀏覽器,鍵盤記錄,盜取用戶敏感信息。
“后門”(Backdoor/Win32.Rbot.akfp) 威脅級別:★★★
? ? 該病毒為后門類,病毒運行后復制自身到系統目錄,重命名為winamp.exe,并刪除自身。修改注冊表,添加啟動項,以達到隨機啟動的目的。創建自身進程winamp.exe,主動連接網絡,開啟端口,等待病毒控制端連接。該病毒通過惡意網站、其它病毒/木馬下載傳播,可以遠程控制用戶電腦,進行盜取用戶敏感信息,發起拒絕服務(DDOS)攻擊。
“記錄間諜”(Trojan/Win32.KeyLogger.fjd[Spy]) 威脅級別:★★
? ? 病毒運行后衍生病毒文件到%Windir%目錄下,衍生圖片文件到%Windir%\temp下,用以迷惑用戶;修改注冊表添加啟動項,使病毒文件隨機啟動;病毒運行后記錄當前用戶的鍵盤操作,保存到%Windir%目錄下的winhlp32.hlp文件中;連接FTP服務器,將捕獲的鍵盤數據發送到指定的目錄。該病毒通過病毒作者向攻擊目標的email地址發送郵件的方式進行傳播。
?
“感染者”(Worm.Win32.Allaple.e[Net])威脅級別:★★
? ? 該病毒為蠕蟲類病毒,病毒運行后調用API函數設置隱藏內存報錯窗口,獲取自身模塊句柄動態加載“icmp.dll”系統庫文件并獲取多個API函數,創建互斥體防止病毒多次運行,創建多個線程,獲取磁盤驅動器信息,判斷磁盤類型是否是3,如果是3則分配一塊內存并將磁盤驅動器名保存到分配的buffer中,接著創建一個線程將線程優先級設置為2,然后每隔1秒遍歷一次保存在buffer中的磁盤下的所有文件,判斷文件的后綴名是否為.htm和.html,找到之后將文件屬性設置為存檔,比較找到的.htm文件起始代碼的第68個字節是否是和指定的代碼相同,如果相同則調用,如果不同則說明沒有被感染,則會將這68字節數據寫入到.htm文件的文件頭中,并將病毒自身隨機拷貝為病毒名文件到找到的.htm文件的所在目錄下,偽裝成ActiveX組件,添加注冊表病毒CLSID值啟動項,該病毒文件利用windows漏洞傳播自身,試圖連接多個網站,溢出成功之后并試圖嘗試使用弱口令登陸目標計算機。
“IE劫持器”(Trojan/Win32.Agent.dxmg[Dropper]) 威脅級別:★★
? ? 該惡意代碼文件為惡意廣告類木馬,病毒運行后修改注冊表項隱藏桌面IE瀏覽器,并添加多處注冊表項新建IE快捷方式,使打開IE連接到指定廣告網站,創建多個病毒VBS腳本文件到系統目錄下,在桌面創建多個URL快捷方式,強行安裝世界之窗軟件,以非法推廣手段獲取謀利。
“大話竊賊”(Trojan/Win32.Win32.WOW.zan[GameThief]) 威脅級別:★★
? ? 該惡意代碼文件為大話西游2盜號木馬,病毒運行后判斷進程查找xy2.exe進程,找到之后強行結束該進程,打開注冊表的ShellNoRoam\MUICache項枚舉該鍵值下的所有值是否有\xy2.ex,如果找到之后則將%System32%目錄下的ksuser.DLL文件拷貝一份命名為xy2woool.dll,衍生病毒DLL文件到病毒原體所在目錄下,命名為xy2color.dll、xy2ksuser.dll并將文件屬性設置為隱藏,遍歷進程查找avp.exe、KVMonXP.exe,如果存在以上任意一個進程則衍生病毒DLL文件到臨時目錄下命名為dd2.dll,調用CMD命令使用rundll32.exe啟動衍生的DLL文件,如果找不到則衍生隨機病毒名DLL文件到%Temp%目錄下并將文件屬性設置為隱藏,試圖將DLL注入到所有進程中,設置全局鉤子截取游戲賬號密碼通過URL發送到作者指定的地址中。
?
“修改者木馬”(Trojan/Win32.StartPage.aakn[Dropper])威脅級別:★★
? ? 該病毒為木馬類,病毒運行后遍歷進程,查找殺軟相關進程并關閉;刪除桌面上的IE瀏覽器圖標,創建一個執行指定主頁的網站,在系統目錄下衍生病毒配置文件,修改host文件屏蔽部分網址導航網站并將其導航到指定頁面;修改注冊表添加啟動項,修改ie瀏覽器的默認主頁;連接指定的網站發送本地用戶相關的信息。
“控制者”(Trojan/Win32.Inject.adpk) 威脅級別:★★
? ? 該惡意代碼文件為后門類,該病毒做了加密處理,病毒運行后刪除注冊表的"Software\Microsoft\Active Setup\Installed Components\"鍵值下的{286B99E4-3C9B-25EF-D603-A78D81C73EED}鍵,并重新創建該項,并利用該項達到開機病毒自啟動,創建病毒互斥體")!VoqA.I4",遍歷進程查找"explorer.exe"進程,找到之后打開進程申請內存空間向該進程寫入3342字節病毒數據,調用遠程線程函數來執行被注入的病毒代碼,病毒代碼被執行后拷貝自身文件到%Systme32%目錄下,開啟一個iexplore.exe進程,若iexplore.exe進程被結束explorer.exe進程則會重新建立iexplore.exe進程,等待客戶端做出消息響應。
“vb木馬”(Trojan/Win32.VB.aeyw) 威脅級別:★★
? ? 該病毒為木馬類,病毒運行后復制自身到系統目錄,衍生病毒文件。修改注冊表,添加啟動項,以達到隨機啟動的目的。添加防火墻規則到Windows Firewall授權軟件列表,使病毒穿透防火墻不受阻擋。強行設置主頁,修改hosts文件信息。主動連接網絡,下載相關病毒文件信息。
?
“隱秘者”(Trojan/Win32.TDSS.bcpe[Rootkit])威脅級別:★★
? ? 該病毒運行之后,復制自身到%Temp%目錄下,使用Rootkit技術在系統中隱藏自身行為,連接網絡下載3個病毒文件(該病毒文件下載的文件可能隨時間變化不定),將下載的病毒文件保存到%Temp%目錄下,病毒運行完畢后刪除自身文件。病毒會連接網絡下載文件并運行。
“修改者木馬”(Trojan/Win32.StartPage.zwz[Dropper]) 威脅級別:★★
? ? 該病毒為木馬類,病毒運行后遍歷進程,查找殺軟相關進程并關閉;刪除桌面上的IE瀏覽器圖標,創建一個執行指定主頁的網站,在系統目錄下衍生病毒配置文件,修改host文件屏蔽部分網址導航網站并將其導航到指定頁面;修改注冊表添加啟動項,修改ie瀏覽器的默認主頁;連接指定的網站發送本地用戶相關的信息。
“廣告木馬”(Trojan/VBS.StartPage.ez[Clicker]) 威脅級別:★★
? ? 惡意代碼文件為惡意廣告類木馬,該病毒文件為包裹捆綁病毒文件,病毒運行后動態加載多個系統DLL文件來獲取所需調用的函數,查找并調用指定的模板資源,創建一個模態對話框在臨時文件目錄下并釋放多個病毒文件,調用VBS腳本來修改添加注冊表項,判斷注冊表IE主頁是否為已修改,如是則不執行批處理文件,如不是則執行批處理文件將執行注冊信息導入注冊表實現修改IE主頁和隱藏桌面的Internet Explorer瀏覽器,實現將病毒的URL快捷方式文件拷貝到%System32%目錄下并在桌面、開始菜單-程序內與桌面快速啟動位置創建IE快捷方式,最后刪除病毒自身的IEXPLORE.lnk、Internet Explorer.lnk文件。
“IE修改器”(Trojan/Win32.StartPage.zdf[Clicker]) 威脅級別:★★
? ? 該惡意代碼文件為木馬類,病毒運行后創建互斥量MutexName = "Q-$-EXE",以防止病毒多次運行產生沖突,創建一個線程通過檢查注冊表來確認是否安裝QQ、迅雷等工具,并獲取相應安裝路徑。遍歷QQ的BIN目錄查找TaskTray.dll文件,獲取該文件的文件大小并比較文件大小是否是300000,如不是則刪除%HOMEDRIVE%下的Q999.dll文件,并創建一個已經寫入35328字節數據的新Q999.dll文件到%HOMEDRIVE%下,且將文件屬性設置為隱藏。將BIN文件夾下的TaskTray.dll命名為Shareds.dll,將%HOMEDRIVE%下的Q999.dll病毒文件移動到BIN文件夾下命名為TaskTray.dll文件,動態獲取大量API函數遍歷進程查找QQ.EXE找到之后強行結束其進程。同樣利用以上注冊表查詢迅雷的安裝路徑并獲取迅雷目錄下的mp.dll的文件大小,查找Shareds.dll文件并以該文件作為標志來判斷是否已經被修改過,創建一個已經寫入35328字節數據的新xlnnn.dll文件到%HOMEDRIVE%下,同樣將xlnnn.dll替換成迅雷目錄下的mp.dll,將mp.dll改名為Shareds.dll,再次遍歷進程查找Thunder.exe找到之后結束該進程。在%HOMEDRIVE%下創建一個nyvdvm.lnk快捷方式文件、寫入693字節數據,設置注冊表將桌面的IE瀏覽器隱藏,同時將%HOMEDRIVE%下的nyvdvm.lnk快捷方式文件移動到桌面命名為Internet Explorer.lnk,調用Netbios函數獲取本機MAC地址,隱藏開啟iexplore.exe進程連接網絡發送安裝統計信息,病毒對QQ和迅雷的文件替換主要目是監視桌面上病毒創建的Internet Explorer.lnk,如發現被刪除則會立即創建,這樣達到無法正常刪除的目的,當用戶打開桌面IE瀏覽器時,將會跳轉到病毒指定的廣告網址。
“瘋狂下載者”(Trojan/Win32.Patched.iv[Downloader]) 威脅級別:★★
? ? 該文件被感染式病毒所感染,感染病毒對該文件做了入口點代碼修改,當用戶打開被感染的文件后,先執行病毒代碼,再執行正常文件的代碼。執行病毒代碼后切換到正常文件代碼的過程:先分配臨時空間,將病毒代碼存放到該緩沖區內,在文件入口偏移10E處調用執行病毒代碼,獲取模塊句柄,打開文件從文件尾部向上偏移938(2036)字節并除去正常文件的代碼,然后保存到緩沖區里,將讀出來的正常文件數據拷貝到入口點處覆蓋掉病毒代碼,創建一個線程最后跳到原入口點執行正常文件的代碼,所創建的線程是運行病毒主要功能代碼。在正常文件執行后,線程同時被激活,線程執行后動態加載多個系統DLL文件,遍歷%System32%目錄下是否存在arpcss.dll文件,如有則退出線程,如沒有則找到該文件并連接網絡用于下載病毒文件并將下載的病毒文件保存到臨時目錄下。
?
“IE修改者”( Trojan/Win32.StartPage.yhl) 威脅級別:★★
? ? 該病毒運行后,衍生病毒文件到%system32%與病毒當前目錄下。添加注冊表加載項以在重新啟動系統后加載病毒體運行。之后會連接某地址下載病毒文件到本機運行。添加計劃任務,以便定時運行,造成強行插入IE插件等影響,給用戶帶來不便。
“修改者木馬”(Trojan/Win32.StartPage.ygk[Dropper]) 威脅級別:★★
? ? 該病毒為木馬類,病毒運行后遍歷進程,查找殺軟相關進程并關閉;刪除桌面上的IE瀏覽器圖標,創建一個執行指定主頁的網站,在系統目錄下衍生病毒配置文件,修改host文件屏蔽部分網址導航網站并將其導航到指定頁面;修改注冊表添加啟動項,修改ie瀏覽器的默認主頁;連接指定的網站發送本地用戶相關的信息。
“木馬下載者”(Trojan/Win32.Patched.iv[Downloader]) 威脅級別:★★
? ? 該文件被感染式病毒所感染,感染病毒對該文件做了入口點代碼修改,當用戶打開被感染的文件后,先執行病毒代碼,再執行正常文件的代碼。執行病毒代碼后切換到正常文件代碼的過程:先分配臨時空間,將病毒代碼存放到該緩沖區內,在文件入口偏移10E處調用執行病毒代碼,獲取模塊句柄,打開文件從文件尾部向上偏移938(2036)字節并除去正常文件的代碼,然后保存到緩沖區里,將讀出來的正常文件數據拷貝到入口點處覆蓋掉病毒代碼,創建一個線程最后跳到原入口點執行正常文件的代碼,所創建的線程是運行病毒主要功能代碼。在正常文件執行后,線程同時被激活,線程執行后動態加載多個系統DLL文件,遍歷%System32%目錄下是否存在arpcss.dll文件,如有則退出線程,如沒有則找到該文件并連接網絡用于下載病毒文件并將下載的病毒文件保存到臨時目錄下。
?
“網絡僵尸”(Backdoor/Win32.Rbot.kti)威脅級別:★★
? ? 該病毒文件為僵尸后門類,該病毒對數據資源進行了加密處理,病毒運行后查找標題為"The Wireshark Network Analyzer"(抓包工具)的窗口,找到之后向該窗口發送WM_CLOSE消息并關閉該窗口,遍歷進程查找filemon.exe、regmon.exe、procmon.exe相關進程,找到含有以上進程后病毒則退出,遍歷進程,查找并結束Ollydbg.exe進程,創建病毒進程,讀取病毒創建進程的基址,申請內存空間,將病毒數據寫入到創建的進程內存當中,調用函數恢復進程線程句柄使進程正常運行,將自身文件拷貝到臨時目錄下運行,遍歷進程查找多款安全軟件進程找到后將其結束,連接網絡請求多個網頁數據下載病毒文件到本地并隱藏運行。
“傳播者”(Trojan/Win32.Patched.iv[Downloader]) 威脅級別:★★
? ? 該文件被感染式病毒所感染,感染病毒對該文件做了入口點代碼修改,當用戶打開被感染的文件后,先執行病毒代碼,再執行正常文件的代碼。執行病毒代碼后切換到正常文件代碼的過程:先分配臨時空間,將病毒代碼存放到該緩沖區內,在文件入口偏移10E處調用執行病毒代碼,獲取模塊句柄,打開文件從文件尾部向上偏移938(2036)字節并除去正常文件的代碼,然后保存到緩沖區里,將讀出來的正常文件數據拷貝到入口點處覆蓋掉病毒代碼,創建一個線程最后跳到原入口點執行正常文件的代碼,所創建的線程是運行病毒主要功能代碼。在正常文件執行后,線程同時被激活,線程執行后動態加載多個系統DLL文件,遍歷%System32%目錄下是否存在arpcss.dll文件,如有則退出線程,如沒有則找到該文件并連接網絡用于下載病毒文件并將下載的病毒文件保存到臨時目錄下。
“QQ盜號木馬”(Trojan/Win32.QQPass.shf[GameThief]) 威脅級別:★★
? ? 該惡意代碼文件為QQ盜號木馬,病毒運行后查找類名為“g”,標題為“2”的窗口,刪除%Documents and Settings%\當前用戶\Application Data\目錄下的Dg32.bak文件,并衍生Dg32.bak、Dbg.Sys、Dbg.New病毒文件到該目錄下,病毒創建一個X=0,Y=0,類名為:Edit,標題為:DT4TRTDTT的隱藏窗口,動態加載病毒衍生的Dbg.Sys文件,獲取并調用該病毒文件的"InitDll"、"FreeDll"模塊,"InitDll"模塊設置成HOOK全局鉤子,以便截取QQ賬號密碼,添加注冊表項,試圖將病毒文件注入到所有進程中,Dbg.Sys病毒文件判斷自身是否被注入在Qq.exe、Explorer.exe、VerclsId.exe、iexplore.exe,如不是則退出,如是則將自身拷貝一份命名為Dg32.Tmp。病毒DLL被加載之后創建2個線程,反制QQ安全中心,釋放病毒驅動文件到%System32%\drivers\目錄下,命名為dHook.sys,查找類名為"TXGuiFoundation",標題為“放棄清除提示”、qq安全中心的窗口,找到后發送WM_KEYDOWN按鍵點擊消息,被感染的用戶會被病毒作者竊取QQ賬號密碼并以URL方式發送到作者指定的地址中。
?
“偽裝者”(Trojan/Win32.Scar.bzal)威脅級別:★★
? ? 病毒運行后,釋放一個偽裝的系統文件到系統文件夾下,并刪除木馬自身。該文件用以偽裝Windows系統的幫助文件,并設置該文件屬性為系統隱藏的屬性,使得一般用戶難以察覺。程序運行后,會調用services.exe加載自身為服務項,然后通過修改和調用svchost.exe進程,訪問遠程服務器,伺機接受遠程指令,下載更多惡意程序到受感染計算機,給計算機安全造成重大隱患。
“代理下載者”(Trojan/Win32.Agent.dkle[Downloader]) 威脅級別:★★
? ? 該病毒屬木馬類,病毒運行后衍生病毒文件到系統目錄下,并刪除自身;修改注冊表,添加啟動項,以達到隨機啟動的目的;連接網絡,下載大量病毒文件到本機運行,該病毒的部分版本下載的文件可引起DNS欺騙。
“霸族變種”(Trojan/Win32.Buzus.dhzq) 威脅級別:★★
? ? 該病毒文件對API函數進行了加密處理,病毒運行后解密部分API函數,將自身創建到進程中,讀取內存MZP標志,查找內存空間地址,并比較,申請內存空間將病毒代碼寫入到內存空間,在進程中創建線程釋放病毒文件到%System32%目錄下,修改注冊表使系統文件達到啟動病毒的目的,連接網絡。
?
記錄間諜”(Trojan/Win32.KeyLogger.dzq[Spy])威脅級別:★★
? ? 該病毒圖標為jpg格式文件圖標;該文件是由一個圖片文件和一個病毒文件用winrar組成的自解壓復合文件;病毒運行后衍生病毒文件到%Windir%目錄下,衍生圖片文件到%Windir%\temp下,用以迷惑用戶;修改注冊表添加啟動項,使病毒文件隨機啟動;病毒運行后記錄當前用戶的鍵盤操作,保存到%Windir%目錄下的winhlp32.hlp文件中;連接FTP服務器,將捕獲的鍵盤數據發送到指定的目錄。該病毒通過病毒作者向攻擊目標的email地址發送郵件的方式進行傳播。
“捆綁者”(Trojan/Win32.Ekafod.q[Dropper]) 威脅級別:★★
? ? 病毒運行后獲取系統時間來作為衍生的隨機病毒文件名,添加病毒注冊表啟動項,遍歷進程查找"ravmond.exe"進程,衍生多個病毒DLL文件到%System32%目錄下,檢測%System32%\dllcache目錄下是否存在該DLL文件如不存在則衍生相同文件到該目錄下,檢測D盤下是否存在ssshall目錄,如不存在則創建,并將創建的目錄屬性設置為隱藏,調用regsvr32 /s注冊病毒衍生的DLL組件,調用rundll32.exe隱藏安裝病毒DLL文件,衍生病毒EXE文件到System32%目錄下并命名為Dofake.exe,將D盤下所有文件夾設置為隱藏,并將所有文件夾名字記錄下來,將除系統盤外所有磁盤的根目錄下所有文件夾屬性設置為隱藏,再創建以文件夾名字命名的.exe文件,使用戶不被發現,當用戶雙擊打開文件夾時先執行病毒文件之后病毒文件調用EXPLORER.EXE資源管理器方式再打開真正的文件夾,被感染的機器連接網絡在后臺隱藏打開多個惡意連接。
“間諜木馬”(Trojan/Win32.Zbot.agnp[SPY]) 威脅級別:★★
? ? 病毒運行后,復制自身到%System32%目錄下,在該目錄下衍生多個文件;修改注冊表,使衍生的文件伴隨userinit.exe啟動以及將病毒文件加入到CMD.EXE的調用擴展中;將病毒主體添加到卡巴斯基反病毒軟件的信任區域;為卡巴斯基添加新規則開放最大權限;繞過金山反病毒軟件的主動防御;病毒運行完畢后刪除自身。該病毒會連接網絡向外發送本地機器的相關信息、下載病毒的最新版本到IE臨時目錄并執行,從而盜取或控制用戶的計算機。
“魔獸竊賊”(Trojan/Win32.Vilsel.xbd[Downloader]) 威脅級別:★★
? ? 病毒運行之后動態獲取多個API函數,在臨時目錄下釋放一個*.tmp臨時文件,調用regsvr32.exe系統文件將病毒釋放在臨時目錄下的文件注冊為Windows鏈接庫和ActiveX控件并加載已釋放的病毒文件,病毒運行完畢之后刪除自身文件,被加載的病毒文件執行命令后拷貝%System32%目錄下的msvcp50.dll為msvcp60.dll文件,并對該進程進行提權操作,判斷自身進程是否是regsvr32與svchost.exe進程,拷貝自身到%System32%目錄下的并命名為:rpcss.dll~951531,添加注冊表啟動項,將%System32%目錄下的rpcss.dll命名為rpcss.dll1248234,再將病毒DLL文件命名成rpcss.dll以達到偽裝成系統文件的目的,開啟一個SVCHOST.EXE進程將病毒DLL注入到該進程中,被感染的用戶會被執行下載惡意病毒文件、控制計算機截取敏感賬號密碼等操作。
?
“控制者”(Backdoor/Win32.Bifrose.clcp)威脅級別:★★
? ? 該病毒為客戶端,根據用戶要求,能生成包括DNS服務器、打開的遠程端口、C/S驗證口令、安裝目錄、啟動注冊表鍵值,是否注射進程等功能的服務端。該病毒運行后,衍生病毒副本到系統目錄%windows%或%System32%下,添加注冊表啟動項,以便在系統啟動后運行,使受感染主機可能被運行有害程序。
“霸族變種”(Trojan/Win32.Buzus.dnwi) 威脅級別:★★
? ? 該病毒文件對API函數進行了加密處理,病毒運行后解密部分API函數,將自身創建到進程中,讀取內存MZP標志,查找內存空間地址,并比較,申請內存空間將病毒代碼寫入到內存空間,在進程中創建線程釋放病毒文件到%System32%目錄下,修改注冊表使系統文件達到啟動病毒的目的,連接網絡。
“間諜木馬”(Trojan/Win32.Zbot.ahcf[SPY]) 威脅級別:★★
? ? 病毒運行后,復制自身到%System32%目錄下,在該目錄下衍生多個文件;修改注冊表,使衍生的文件伴隨userinit.exe啟動以及將病毒文件加入到CMD.EXE的調用擴展中;將病毒主體添加到卡巴斯基反病毒軟件的信任區域;為卡巴斯基添加新規則開放最大權限;繞過金山反病毒軟件的主動防御;病毒運行完畢后刪除自身。該病毒會連接網絡向外發送本地機器的相關信息、下載病毒的最新版本到IE臨時目錄并執行,從而盜取或控制用戶的計算機。
“偽裝者”(Trojan/Win32.Scar.bvoj) 威脅級別:★★
? ? 病毒運行后,釋放一個偽裝的系統文件到系統文件夾下,并刪除木馬自身。該文件用以偽裝Windows系統的幫助文件,并設置該文件屬性為系統隱藏的屬性,使得一般用戶難以察覺。程序運行后,會調用services.exe加載自身為服務項,然后通過修改和調用svchost.exe進程,訪問遠程服務器,伺機接受遠程指令,下載更多惡意程序到受感染計算機,給計算機安全造成重大隱患。
?
“游戲竊取者”(Trojan/Win32.Vilsel.ogc[GameThief])威脅級別:★★
? ? 該惡意代碼文件為夢幻誅仙游戲盜號木馬,病毒運行之后在%System32%\drivers目錄下創建bmtpws31.dat文件并將病毒作者回傳地址及賬戶信息存放在該文件中,一旦截取到游戲賬號和密碼則讀取該文件中的地址以URL或郵件方式上傳到作者指定的地址中,衍生kb****.dll(*號為隨機數字)和wsconfig.db文件到%System32%目錄下,刪除臨時目錄下的~t12.tmp和~23.tmp文件,拷貝系統imm32.dll文件到臨時目錄下命名為~t12.tmp并在文件尾部添加一個節名為.ss32,并向該節寫入850字節數據修改文件的入口點,拷貝%System32%目錄下的imm32.dll改名為imm32.dll.bak,先動態加載一下imm32.dll然后再釋放,動態加載sfc_os.dll系統文件,調用該庫文件序號為#5的函數來去掉對imm32.dll文件的保護,然后將修改過的imm32.dll拷貝到%System32%目錄下替換系統的imm32.dll文件,以達到加載imm32.dll文件來執行病毒代碼的目的,遍歷進程查找gameclient.exe進程找到之后強行結束該進程,釋放BAT批處理文件刪除病毒自身文件,將病毒DLL文件注入到conime.exe進程中,病毒DLL文件被注入后創建互斥量M_1484_-1,創建2個線程對比游戲內存16字節數據是否匹配(E621582CC93BB589D16F67488F61D582),如果匹配到,則再次對游戲進程的模塊進行對比139字節數據并將匹配后的模塊地址保存起來,以上條件成立后則獲取當前窗口的坐標并截取下當前窗口作為.\tmpimg.bmp保存到病毒所在目錄下以獲取密保之類的信息,讀取游戲目錄下的.\wtf\serveraddr.ini配置文件獲取游戲賬號所在服務器相關信息,通過內存定位截取游戲賬號密碼將截取到的賬號密碼及圖片以URL或email方式發送到作者指定的地址中。
“隱秘者”(Trojan/Win32.TDSS.axzy[Rootkit]) 威脅級別:★★
? ? 該病毒運行之后,復制自身到%Temp%目錄下,使用Rootkit技術在系統中隱藏自身行為,連接網絡下載3個病毒文件(該病毒文件下載的文件可能隨時間變化不定),將下載的病毒文件保存到%Temp%目錄下,病毒運行完畢后刪除自身文件。病毒會連接網絡下載文件并運行。
?
“騙取者”(Trojan/Win32.QQPass.rrf[stealer])威脅級別:★★
? ? 該病毒運行后,創建窗體,調用系統API函數將窗口最小化到托盤,獲取注冊表QQ安裝位置,添加啟動項;釋放加密文件到系統根目錄下,讀取內容后將其刪除;修改系統host文件,使訪問騰訊官方網站、深圳市公證處網站指向惡意網站;遍歷系統進程,反制反病毒軟件;該病毒運行一定時間后會在系統托盤圖標假冒騰訊信息提示,如果雙擊該提示會顯示假冒的騰訊系統消息,并要求用戶點擊查看詳細信息進入惡意網站hxxp://www.qq.com.qkisc.cn/。此網站為釣魚網站。
“記錄間諜”(Trojan/Win32.KeyLogger.bsx[Spy]) 威脅級別:★★
? ? 該病毒圖標為jpg格式文件圖標;該文件是由一個圖片文件和一個病毒文件用winrar組成的自解壓復合文件;病毒運行后衍生病毒文件到%Windir%目錄下,衍生圖片文件到%Windir%\temp下,用以迷惑用戶;修改注冊表添加啟動項,使病毒文件隨機啟動;病毒運行后記錄當前用戶的鍵盤操作,保存到%Windir%目錄下的winhlp32.hlp文件中;連接FTP服務器,將捕獲的鍵盤數據發送到指定的目錄。該病毒通過病毒作者向攻擊目標的email地址發送郵件的方式進行傳播。
“間諜木馬”(Trojan/Win32.Zbot.agnw[SPY]) 威脅級別:★★
? ? 病毒運行后,復制自身到%System32%目錄下,在該目錄下衍生多個文件;修改注冊表,使衍生的文件伴隨userinit.exe啟動以及將病毒文件加入到CMD.EXE的調用擴展中;將病毒主體添加到卡巴斯基反病毒軟件的信任區域;為卡巴斯基添加新規則開放最大權限;繞過金山反病毒軟件的主動防御;病毒運行完畢后刪除自身。該病毒會連接網絡向外發送本地機器的相關信息、下載病毒的最新版本到IE臨時目錄并執行,從而盜取或控制用戶的計算機。
?
“捆綁木馬”(Trojan/Win32.Agent.ahwr[Dropper])威脅級別:★★
? ? 該病毒為木馬類病毒,病毒運行后,創建進程加載病毒DLL文件,添加注冊表啟動項,創建相應快捷方式文件到桌面,將病毒dll文件注入到Explorer.exe進程中,調用函數連接網絡打開一個網址并下載病毒文件保存到%System32%目錄下,病毒DLL文件主要行為:當用戶雙擊盤符時會出現該目錄存在威脅的提示并詢問用戶是否下載,當用戶選擇“是”則會連接網絡下載文件,當用戶選擇“否”則會彈出一個網頁模擬本地磁盤,顯示存在的威脅數量并提示用戶是否下載掃描器,嚴重影響用戶對本地磁盤的正常瀏覽。
“IE修改者”(Trojan/Win32.StartPage.gd[Dropper]) 威脅級別:★★
? ? 該病毒運行后,衍生病毒文件到%system32%與病毒當前目錄下。添加注冊表加載項以便在重新啟動系統后加載病毒體運行。之后會連接某地址下載病毒文件到本機運行。添加計劃任務,以便定時運行,造成強行插入IE插件等影響,給用戶帶來不便。
“QQ欺騙者”(Trojan/Win32.QQFish.gb[PSW]) 威脅級別:★★
? ? 病毒運行后,衍生文件到系統目錄下,并創建互斥體防止進程中多個病毒實例運行,修改注冊表,添加開機啟動項,修改host文件,目的劫持指定網站ip,使此網站無法正常訪問,映像劫持多個安全軟件,彈出假的qq信息對話框,提示用戶已經中毒,需要到指定網址下載專殺工具,并且此網站為作者設計的釣魚網站,要求用戶輸入手機號碼,用戶名字等信息。
?
“控制者”(Backdoor/Win32.Bifrose.cgpv)威脅級別:★★
? ? 該病毒為客戶端,根據用戶要求,能生成包括DNS服務器、打開的遠程端口、C/S驗證口令、安裝目錄、啟動注冊表鍵值,是否注射進程等功能的服務端。該病毒運行后,衍生病毒副本到系統目錄%windows%或%System32%下,添加注冊表啟動項,以便在系統啟動后運行,使受感染主機可能被運行有害程序。
“騙取者”(Trojan/Win32.QQPass.qhy[stealer]) 威脅級別:★★
? ? 該病毒運行后,創建窗體,調用系統API函數將窗口最小化到托盤,獲取注冊表QQ安裝位置,添加啟動項;釋放加密文件到系統根目錄下,讀取內容后將其刪除;修改系統host文件,使訪問騰訊官方網站、深圳市公證處網站指向惡意網站;遍歷系統進程,反制反病毒軟件;該病毒運行一定時間后會在系統托盤圖標假冒騰訊信息提示,如果雙擊該提示會顯示假冒的騰訊系統消息,并要求用戶點擊查看詳細信息進入惡意網站hxxp://www.qq.com.qkisc.cn/。此網站為釣魚網站。
“侵染者”(Virus/Win32.Small.w) 威脅級別:★★
? ? 該病毒運行后復制自身到系統目錄,衍生病毒文件。修改注冊表,添加啟動項,以達到隨機啟動的目的。以CreateMutexA創建互斥體Angry Angel v3.0,防止多個病毒體重復運行。感染各個邏輯驅動器下的exe文件,在exe文件中增加最后一個節的大小,寫入病毒,并修改該節的虛擬大小,原始大小與節屬性等。嘗試訪問相關網站下載其它惡意程序。
?
“修改者木馬”(Trojan/Win32.StartPage.df[Dropper])威脅級別:★★
? ? 該病毒為木馬類,病毒運行后遍歷進程,查找殺軟相關進程并關閉;刪除桌面上的IE瀏覽器圖標,創建一個執行指定主頁的網站,在系統目錄下衍生病毒配置文件,修改host文件屏蔽部分網址導航網站并將其導航到指定頁面;修改注冊表添加啟動項,修改ie瀏覽器的默認主頁;連接指定的網站發送本地用戶相關的信息。
“BHO-流氓者”(Trojan/Win32.BHO.adgx) 威脅級別:★★
? ? BHO是微軟推出的作為瀏覽器對第三方程序員開放交互接口的業界標準,通過簡單的代碼就可以進入瀏覽器領域的“交互接口”。但這個技術被黑客利用上了之后,就變成了惡意代碼的構造手段。該病毒為BHO木馬,病毒運行后衍生病毒文件到系統目錄下。修改注冊表,添加啟動項以達到啟動的目的。啟動后進行劫持瀏覽器,鍵盤記錄等相關病毒行為。還可主動連接網絡,下載相關病毒文件。建議用戶常用瀏覽器檢測工具對當前使用的瀏覽器進行安全檢測,以防止惡意的BHO插件。
“偷取者”(Trojan/Win32.BHO.adio) 威脅級別:★★
? ? 該病毒為木馬類,病毒運行后衍生病毒文件到系統目錄下,并刪除自身。修改注冊表,添加啟動項,以達到隨機啟動的目的。病毒的dll文件隨IEXPLORER.EXE進程的啟動而啟動,進行劫持瀏覽器,鍵盤記錄等相關病毒行為。主動連接網絡,開啟本地端口,下載相關病毒文件信息。該病毒通過惡意網站、其它病毒/木馬下載傳播,可以進行劫持瀏覽器,鍵盤記錄,盜取用戶敏感信息。
?
“控制者”(Trojan/Win32.KillAV.bkx[Dropper])威脅級別:★★
? ? 該惡意代碼文件為灰鴿子變種后門類木馬,病毒運行后創建dll843.dll文件到臨時目錄下,創建完成后動態加載該病毒DLL文件,釋放批處理文件到臨時目錄下,用于刪除病毒原文件,病毒DLL被加載之后判斷自身文件路徑是否在%System32%目錄下,如不是則創建beep.sys到%System32%\drivers目錄下替換系統現有的文件來躲避安全軟件的主動防御查殺,遍歷進程查找AVP.EXE找到后試圖強行結束該進程,添加注冊表病毒服務啟動項,將自身DLL拷貝到%System32%目錄下,開啟svchost.exe進程將病毒DLL注入到進程中并創建一個線程向病毒作者地址發送數據,感染的計算機會被病毒作者完全操控。
“霸族變種”(Trojan/Win32.Buzus.czmo) 威脅級別:★★
? ? 該病毒文件對API函數進行了加密處理,病毒運行后解密部分API函數,將自身創建到進程中,讀取內存MZP標志,查找內存空間地址,并比較,申請內存空間將病毒代碼寫入到內存空間,在進程中創建線程釋放病毒文件到%System32%目錄下,修改注冊表使系統文件達到啟動病毒的目的,連接網絡。
“誅仙木馬”(Trojan/Win32.Magania.gen[GameThief]) 威脅級別:★★
? ? 該惡意代碼文件為誅仙游戲盜號木馬,病毒運行后遍歷進程查找"elementclient.exe"進程,找到之后強行結束該進程,遍歷進程查找avp.exe、kvmonxp.exe進程,如果存在以上2個進程將比較自身文件名是否為"RV00458.tmp",如不是則拷將自身到命名為"RV00458.tmp"然后退出進程,如果找不到以上2個安全軟件進程則衍生病毒DLL文件到臨時目錄下,將文件屬性設置為隱藏,動態加載病毒DLL文件,獲取調用病毒DLL的"zhko"模塊來設置安裝消息鉤子,病毒DLL被加載之后判斷DLL文件是否在EXPLORER.EXE、elementclient.exe進程中,如果是就安裝消息鉤子創建互斥"czxasdfgh",防止多次運行,利用全局鉤子截取游戲賬號及密碼,通過URL方式發送到病毒作者指定地址中。
?
“廣告木馬”(Trojan/VBS.StartPage.dv[Clicker]) 威脅級別:★★
? ? 惡意代碼文件為惡意廣告類木馬,該病毒文件為包裹捆綁病毒文件,病毒運行后動態加載多個系統DLL文件來獲取所需調用的函數,查找并調用名為"RTL"、類型為RT_DIALOG的模板資源,創建一個模態對話框在%TEMP%目錄下并釋放多個病毒文件,調用VBS腳本來修改添加注冊表項,判斷注冊表IE主頁是否為“http://www.109***.com”如是則不執行1.bat,如不是則執行1.bat將1.reg導入注冊表實現修改IE主頁和隱藏桌面的Internet Explorer瀏覽器,再運行a.bat來實現將病毒的URL快捷方式文件拷貝到%System32%目錄下并在桌面、開始菜單-程序內與桌面快速啟動位置創建IE快捷方式,最后刪除病毒自身的IEXPLORE.lnk、Internet Explorer.lnk文件。
“代理木馬”(Trojan/Win32.Agent.cnam) 威脅級別:★★
? ? 該病毒為木馬類,病毒運行后復制自身到系統目錄,并重命名,衍生病毒文件,并刪除自身。修改注冊表,添加服務項,以達到隨機啟動的目的。刪除注冊表中的服務項,修改注冊表項以關閉錯誤報告。主動連接網絡,更新病毒文件,下載相關病毒文件信息。該病毒通過惡意網站、其它病毒/木馬下載傳播,可以盜取用戶敏感信息。
?
“修改者”(Trojan/Win32.StartPage.cjh[Clicker])威脅級別:★★
? ? 該惡意代碼文件為惡意廣告類木馬,病毒運行后創建注冊表項,彈出消息框(檢測到您的系統設置與播放器有沖突!請點擊桌面高清電影開始激情體驗)的提示,調用iexplore.exe彈出一個廣告鏈接網址,遍歷C:\Documents and Settings\a\「開始」菜單\程序目錄下是否存在*.url、*.lnk文件,如有則刪除,創建一個Internet Explorer快捷方式到該目錄下修改目標位置為:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.74***.com/?zzp使其打開時彈出指定的廣告網址,創建多個*.url、*.lnk文件快捷方式到桌面,添加多個廣告網址到IE瀏覽器的收藏夾內,修改注冊表隱藏桌面上的Internet Explorer瀏覽器的右鍵菜單項,修改360安全瀏覽器的配置文件改為病毒指定的廣告網址,試圖創建修改%Documents and Settings%\a\Application Data\文件夾內的火狐瀏覽器、TT瀏覽器的配置文件的主頁改為病毒指定的廣告地址,創建多個.ico文件圖標到%System32%目錄下來設置病毒在桌面創建的.lnk文件的圖標,修改注冊表項創建3個.lnk文件到桌面使其無法正常刪除。
“灰鴿子”(Backdoor/Win32.Hupigon.drek) 威脅級別:★★
? ? 該病毒文件為后門類木馬,病毒運行后用LOAD資源加密信息,該加密信息包括(上線IP地址、端口、衍生的文件名及要注入的進程、服務名等),創建互斥量,名為:yataghanfuckyoumother09防止病毒多次運行造成沖突,拷貝自身到%Windir%目錄下并命名為:yataghan.exe,添加注冊表服務啟動項,開啟一個IEXPLOER.EXE進程并將病毒代碼注入到該進程中通過連接網絡進行通信,病毒運行后刪除自身文件。控制者對感染的用戶進行剪切、復制、拷貝、刪除、視頻監控、語音監聽等惡意操控。
“大話木馬”(Trojan/Win32.WOW.vno[Stealer]) 威脅級別:★★
? ? 該病毒文件為大話西游游戲盜號木馬,病毒運行后創建t322025.ini到%System32%目錄下,衍生隨機病毒名文件到臨時目錄下,遍歷進程查找AVP.EXE進程,如果進程存在則拷貝rundll32.exe一份重命名為t322025.exe,調用CMD命令使用被重命名的t322025.exe文件(原文件名rundll32.exe)來啟動臨時目錄下的病毒文件,如進程不存在則直接使用rundll32.exe啟動臨時目錄下的病毒文件,臨時目錄下的病毒文件被啟動后對進程進行提權操作,判斷自身進程是否為svchost.exe,如不是則退出,如是則衍生病毒DLL文件到%System32%目錄下,拷貝rpcss.dll系統文件為t3rpcss.dll,將病毒DLL文件注入到EXPLORER.EXE進程中,病毒DLL查找含有大話西游標題和xy2_ex.exe進程的窗口,安裝消息鉤子截取游戲賬號密碼通過URL方式將賬號信息發送到作者指定的地址中。
?
“控制者”(Trojan/Win32.Agent.yep[Dropper])威脅級別:★★
? ? 該病毒文件為后門類木馬,病毒運行后查找名為DVCLAL內的DLL類型的資源,找到后Load該資源信息,在病毒當前目錄下衍生病毒DLL文件并將屬性設置為隱藏,Load病毒DLL文件,調用病毒DLL的Install模塊,遍歷進程查找AVP.EXE找到后加載sfc_os.dll文件去掉對beep文件的修改提示,先將系統的beep.sys文件改名為beep.sys.tep釋放beep.sys驅動文件到%drivers%目錄下替換現有的文件,改驅動文件恢復SSDT繞過卡巴斯基主動防御,比較自身DLL進程路徑是否為%System32%目錄下的winnet.dll文件,如不是則將自身拷貝到該目錄下命名成winnet.dll,添加注冊表服務啟動項,開啟一個SVCHOST.EXE進程將病毒代碼注入到該進程中連接網絡進行通信,被控制的計算機會被控制者完全控制,病毒運行完畢后刪除自身原文件。
“欺騙者”(Trojan/Win32.StartPage.cjh[Clicker]) 威脅級別:★★
? ? 該惡意代碼文件為惡意廣告類木馬,病毒運行后創建注冊表項,彈出消息框(“檢測到您的系統設置與播放器有沖突!請點擊桌面高清電影開始激情體驗”)的提示,調用iexplore.exe彈出一個廣告鏈接網址,遍歷C:\Documents and Settings\a\「開始」菜單\程序目錄下是否存在*.url、*.lnk文件,如有則刪除,創建一個Internet Explorer快捷方式到該目錄下修改目標位置為:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.74***.com/?zzp使其打開時自動訪問指定的廣告頁面,創建多個*.url、*.lnk文件快捷方式到桌面,添加多個廣告網址到IE瀏覽器的收藏夾內,修改注冊表隱藏桌面Internet Explorer瀏覽器的右鍵菜單項,修改360安全瀏覽器的配置文件,使其網絡連接地址指向病毒指定的廣告網址,試圖創建修改%Documents and Settings%\a\Application Data\文件夾內的火狐瀏覽器、TT瀏覽器的配置文件,使主頁默認為病毒指定的廣告地址,創建多個.ico文件圖標到%System32%目錄下,使病毒在桌面的.lnk文件顯示指定的圖標,修改注冊表項創建3個.lnk文件到桌面使其無法正常刪除。
“廣告木馬”(Trojan/Win32.Agent.cyaf[Downloader]) 威脅級別:★★
? ? 該病毒為廣告彈窗木馬,病毒運行后創建互斥量名為"mutex_cpa_.la",調用函數關閉Intemet連接、共享和防火墻服務,在D盤創建Winup目錄,刪除%Program Files%目錄下的nowlist.dat文件,連接網絡讀取列表將列表保存到%Program Files%目錄下命名為nowlist.dat,掃描nowlist.dat文件開頭字串是否為“嘿嘿,這是標頭哦”,如果不是則重新連接網絡讀取,如是將查找到的進程進行判斷,看是否是網吧機器,如果是網吧機器則向病毒作者服務器提交數據,如不是網吧機器則將本機的MAC地址提交到病毒作者的服務器,創建注冊表項,根據nowlist.dat文件連接網絡下載并安裝BHO插件,劫持IE瀏覽器,自動彈出廣告,由于病毒作者服務器無法連接所以無法分析其下載的樣本數量。
?
“搗毀者”(Worm/Win32.AutoIt.r) 威脅級別:★★
? ? 該病毒運行后,獲取kernel32.dll基址,動態獲取大量API函數地址,動態加載系統庫文件uxtheme.dll,調用該庫文件的"IsThemeActive"函數,獲取系統版本號,動態加載系統庫文件kernel32.dll,調用該庫文件的IsWow64Process函數,查看操作系統是32位還是64位,獲取系統版本信息之后釋放到kernel32.dll,試圖更改桌面壁紙,檢測是否被處理調試狀態,如果是則調用MessageBox彈出以下信息:"This is a compiled AutoIt script.AV researchers please email avsupport@autoitscript.com for support.",調用SHGetDesktopFolder函數獲得桌面文件夾的IShellFolder接口,注冊一個窗口類名"AutoIt v3 GUI"及消息句柄"TaskbarCreated",完成之后創建隱藏的窗口,調用函數創建一個WORD圖標的托盤,調用函數進入消息循環一直到接收到WM_NULL則跳出循環,拷貝自身到%System32%目錄下備份多個病毒副本,分別重命名為fjwfbnyobd.exe、bomlfdbivbryevg.exe、iabzajxe.exe、ogwcoyjfpfnjn.exe(全部為隨機病毒名),并將屬性全部隱藏,在%System32%目錄下創建一個名為mydoc.rtf的WORD文件,調用函數創建大量病毒進程,循環打開多個mydoc.rtf文件,使系統速度大大下降,該病毒一旦運行之后將無法結束其進程直到系統資源耗盡導致死機。
“魔獸竊賊”(Trojan/Win32.OnLineGames.vwho[Stealer]) 威脅級別:★★
? ? 該病毒文件為魔獸世界游戲盜號木馬,病毒運行后創建t329076.ini到%System32%目錄下,衍生隨機病毒名文件到臨時目錄下,遍歷進程查找AVP.EXE進程,如果進程存在則拷貝rundll32.exe一份重命命名為t329076.exe,調用CMD命令使用被重命名的t329076.exe文件(原文件名rundll32.exe)啟動臨時目錄下的病毒文件,如進程不存在則直接使用rundll32.exe啟動臨時目錄下的病毒文件,臨時目錄下的病毒文件被啟動后對進程進行提權操作,判斷自身進程是否為svchost.exe,如不是則退出,如是則衍生病毒DLL文件到%System32%目錄下,拷貝rpcss.dll系統文件為t3rpcss.dll,將病毒DLL文件注入到EXPLORER.EXE進程中,病毒DLL查找含有魔獸世界標題和wow.exe進程的窗口,安裝消息鉤子截取游戲賬號密碼通過URL方式將賬號信息發送到作者指定的地址中。
“感染者”(Virus/Win32.Virut.ce) 威脅級別:★★
? ? 病毒運行后復制自身到各驅動器根目錄下(除系統盤根目錄)并衍生配置文件,實現雙擊盤符運行病毒。在%ProgramFiles%目錄和部分附屬目錄下復制自身并衍生病毒文件;修改注冊表,添加啟動項,對大量反病毒工具和軟件映像劫持,鎖定對隱藏文件的顯示,使用戶無法通過文件夾選項顯示隱藏文件;禁用系統防火墻服務、自動更新服務、入侵保護服務、幫助服務;刪除注冊表中安全模式啟動需要加載的驅動文件,使用戶無法進入安全模式;開啟自動播放功能,感染連接到中毒機器的移動磁盤;該病毒會自動關閉標題欄中含有指定字符的窗口或文件;該病毒主要通過移動磁盤進行傳播。
“灰鴿子變種”(Backdoor/Win32.Agent.pv) 威脅級別:★★
? ? 該惡意代碼文件為灰鴿子變種后門類木馬,病毒運行后Load資源加密信息,包括病毒要衍生的目錄、名稱、上線IP地址、端口、服務名等信息,判斷自身文件名是否為IEXPLORE.EXE名,如果不是則判斷自身文件路徑是否為%Windir%\Hacker.com.cn.exe路徑下的文件,如是則退出,如不是則創建互斥量防止病毒多次運行,遍歷%Windir%目錄查找Hacker.com.cn.exe文件是否存在,如果存在則退出!不存在則拷貝自身到該目錄下,并將文件屬性設置為隱藏,創建病毒注冊表服務以服務方式啟動病毒,添加注冊表RUN啟動項,彈出信息提示框(灰鴿子遠程控制服務端安裝成功!)的提示信息,衍生批BAT處理文件用于刪除病毒源文件,開啟一個IEXPLORE.EXE進程連接網絡進程通信,被感染的用戶電腦將被自動開啟socks與HTTP代理,感染的計算機會被作者完全操控。
“魔獸竊賊”(Virus/Win32.Daum.a) 威脅級別:★★
? ? 該文件是被病毒感染后的文件。該病毒為感染式病毒,病毒通過修改導入表的方式使被感染文件在調用某一個動態鏈接庫的時候將首先執行病毒代碼,執行完畢后將轉到正常調用的函數的代碼。病毒的代碼將向資源管理器進程中注入遠程線程,檢測窗口類名稱為“TibiaClient”的窗體,讀取進程內部的內存數據。
“代理木馬”(Trojan/Win32.Agent.bqou)威脅級別:★★
? ? 該病毒為木馬類,病毒運行后復制自身到系統目錄,并重命名,衍生病毒文件,并刪除自身。修改注冊表,添加服務項,以達到隨機啟動的目的。刪除注冊表中的服務項,修改注冊表項以關閉錯誤報告。主動連接網絡,更新病毒文件,下載相關病毒文件信息。該病毒通過惡意網站、其它病毒/木馬下載傳播,可以盜取用戶敏感信息。
“魔獸竊賊”(Trojan/Win32.Agent.dczu[Stealer]) 威脅級別:★★
? ? 該惡意代碼文件為魔獸世界游戲盜號木馬,病毒運行后判斷注冊表內是否存在要查詢的鍵值,遍歷進程查找wow.exe進程,如找到則遍歷進程先查找avp.exe如果找不到則查找KVMonXP.exe進程,如果找到avp.exe后休眠2000ms后判斷自身文件進程是否是臨時目錄下的TW9454.tmp路徑文件,如不是則將自身移動到臨時目錄下并命名為TW9454.tmp,之后退出,如果找到KVMonXP.exe進程后試圖拷貝%System32%目錄下的lpk.dll命名為syslpk.dll后將病毒自身替換為lpk.dll文件(未成功失敗),偽裝成系統DLL文件來躲避安全軟件的查殺,如果2個進程都找不到則衍生病毒DLL文件直接到臨時目錄下命名為wfsjowfdsaw.dll,并動態加載該病毒DLL文件,通過病毒DLL文件安裝消息鉤子截取游戲賬號密碼,試圖將病毒DLL文件注入到所有進程中,并將自身拷貝到臨時目錄下并命名為TW9454.tmp,將截圖到的賬號信息以URL方式發送到作者指定的地址中。
?
“間諜木馬變種addz”(Trojan/Win32.Zbot.addz[SPY])威脅級別:★★
? ? 病毒運行后,復制自身到%System32%目錄下,在該目錄下衍生多個文件;修改注冊表,使衍生的文件伴隨userinit.exe啟動以及將病毒文件加入到CMD.EXE的調用擴展中;將病毒主體添加到卡巴斯基反病毒軟件的信任區域;為卡巴斯基添加新規則開放最大權限;繞過金山反病毒軟件的主動防御;病毒運行完畢后刪除自身。該病毒會連接網絡向外發送本地機器的相關信息、下載病毒的最新版本到IE臨時目錄并執行,從而盜取或控制用戶的計算機。
“vb木馬yxt”(Trojan/Win32.VB.yxt[Dropper]) 威脅級別:★★
? ? 該病毒為木馬類,病毒運行后復制自身到系統目錄,衍生病毒文件。修改注冊表,添加啟動項,以達到隨機啟動的目的。添加防火墻規則到Windows Firewall授權軟件列表,使病毒穿透防火墻不受阻擋。強行設置主頁,修改hosts文件信息。主動連接網絡,下載相關病毒文件信息。
?
“控制者”(Backdoor/Win32.Hupigon.jdmi)威脅級別:★★
? ? 該病毒為灰鴿子變種,病毒運行后復制自身到系統目錄,重命名為widows.exe,并刪除自身。創建服務,以服務的方式達到隨機啟動的目的。連接網絡下載遠程控制端IP地址,主動嘗試上線。上線成功后,遠程控制端能夠對用戶機器進行鍵盤記錄,屏幕監控,攝像頭抓圖,文件操作,進程操作等遠程控制。
“偷取者木馬”(Trojan/Win32.Sasfis.vbw) 威脅級別:★★
? ? 病毒運行后釋放隨機病毒名文件*.tmp到臨時目錄下,動態加載E.tmp病毒文件,調用該文件的hfburt模塊,該模塊代碼進行了加密處理,該模塊被調用后開啟一個svchost.exe進程,拷貝E.tmp到%System32%目錄下命名為wdni.buo,并將wdni.buo添加到被開啟的svchost.exe中,修改注冊表使用rundll32.exe為開機啟動衍生的rundll32.dll病毒,病毒運行完后刪除自身文件。
“修改者木馬faf”(Trojan/Win32.StartPage.faf[Dropper])威脅級別:★★
? ? 該病毒為木馬類,病毒運行后遍歷進程,查找殺軟相關進程并關閉;刪除桌面上的IE瀏覽器圖標,創建一個執行指定主頁的網站,在系統目錄下衍生病毒配置文件,修改host文件屏蔽部分網址導航網站并將其導航到指定頁面;修改注冊表添加啟動項,修改ie瀏覽器的默認主頁;連接指定的網站發送本地用戶相關的信息。
“DNF偷取者”(Trojan/Win32.Vilsel.mry[GameThief]) 威脅級別:★★
? ? 該惡意代碼文件為DNF游戲盜號木馬,該病毒文件為初始化后病毒數據,以獲取本地系統時間作為隨機值來創建以kb****.dll的隨機病毒名文件 ,刪除臨時目錄下的~t11.tmp、~t22.tmp文件,拷貝系統imm32.dll文件到臨時目錄下,命名為~t11.tmp并在文件尾部添加一個節名為.ss32向該節寫入485字節數據,備份系統imm32.dll文件,動態加載"sfc_os.dll"系統文件,調用該庫文件序號為#5的函數來去掉對imm32.dll文件的保護,將imm32.dll拷貝到臨時目錄下命名為~t22.tmp,然后將病毒修改后的~t11.tmp拷貝到系統目錄下替換現有的imm32.dll系統文件,以系統庫文件開自動加載病毒文件,刪除~t11.tmp文件,拷貝病毒源文件到系統目錄下命名為kb118151019.dll,匹配所有進程中的0040728C內存地址的數據是否與病毒查找的數據匹配,如果找到則強行結束其進程,釋放BAT批處理文件刪除病毒源文件,查找含有“提示碼”的窗口,找到之后通過讀取內存地址數據獲取游戲賬號密碼信息。以上條件成立后,讀取游戲目錄的.\start\usersetting.ini配置文件獲取用戶所在服務器相關信息,截取含有windows 圖片和傳真查看器、畫圖、acdsee、internet explorer的窗口,找到包含以上標題的窗口后自動截取并保存到臨時目錄下命名為tmpimg2.jpg、tmpimg2.bmp,將截取到的賬號密碼及圖片以URL或email方式發送到作者指定的地址中。
?
“下載者木馬bbpg”(Trojan/Win32.Agent.bbpg[Dropper])威脅級別:★★
? ? 該病毒為木馬類病毒,病毒運行后,創建進程加載病毒DLL文件,添加注冊表啟動項,創建相應快捷方式文件到桌面,將病毒dll文件注入到Explorer.exe進程中,調用函數連接網絡打開一個網址并下載病毒文件保存到%System32%目錄下,病毒DLL文件主要行為:當用戶雙擊盤符時會出現該目錄存在威脅的提示并詢問用戶是否下載,當用戶選擇“是”則會連接網絡下載文件,當用戶選擇“否”則會彈出一個網頁模擬本地磁盤,顯示存在的威脅數量并提示用戶是否下載掃描器,嚴重影響用戶對本地磁盤的正常瀏覽。
“魔獸竊賊”(Backdoor/Win32.PcClient.avjs) 威脅級別:★★
? ? 該病毒文件為后門類木馬,該病毒文件進行了加密處理可以躲避多款安全軟件的查殺,病毒運行后創建病毒驅動文件到%System32%目錄下,將病毒衍生的文件創建時間設置為svchost.exe文件的創建時間,來躲避用戶按文件創建時間的查找,動態加載病毒衍生的文件并調用該文件的"ServeeeDo"模塊,該模塊被調用之后創建病毒服務以服務方式使svchost.exe進程達到開機啟動病毒文件目的,設置完畢后調用函數啟動病毒服務,創建一個svchost.exe進程將衍生的病毒文件注入到該進程中進行網絡通信,被感染的用戶會主動連接到被控制者的IP等待控制者發送控制命令,控制者對感染的用戶進行剪切、復制、拷貝、刪除、視頻監控、語音監聽等惡意操控。
“霸族變種cnhf”(Trojan/Win32.Buzus.cnhf[Proxy]) 威脅級別:★★
? ? 該病毒為蠕蟲類病毒,該病毒文件對API函數進行了加密處理,病毒運行后解密部分API函數,將自身創建到進程中,讀取內存MZP標志,查找內存空間地址,并比較,申請內存空間將病毒代碼寫入到內存空間,在進程中創建線程釋放病毒文件到%System32%目錄下,修改注冊表使系統文件達到啟動病毒的目的,連接網絡。
?
“霸族變種cldn”(Trojan/Win32.Buzus.cldn[Proxy])威脅級別:★★
? ? 該病毒為蠕蟲類病毒,該病毒文件對API函數進行了加密處理,病毒運行后解密部分API函數,將自身創建到進程中,讀取內存MZP標志,查找內存空間地址,并比較,申請內存空間將病毒代碼寫入到內存空間,在進程中創建線程釋放病毒文件到%System32%目錄下,修改注冊表達到啟動病毒的目的,連接網絡。
“控制者”(Trojan/Win32.Agent.aggr[Dropper) 威脅級別:★★
? ? 該惡意代碼文件為遠程控制后門類木馬,病毒運行后創建Server.tmp病毒文件到臨時目錄下,寫入126976字節病毒數據,動態加載Server.tmp文件,解密病毒資源信息包括(病毒的連網上線地址、端口、服務名),將Server.tmp移動到%System32%目錄內,調用rundll32.exe命令隱藏啟動病毒DLL文件,添加注冊表病毒服務使服務達到開機自啟動目的,病毒運行完后調用CMD刪除自身文件,開啟SVCHOST.EXE進程連接到作者指定的地址,等待接收病毒作者發送的控制指令,被感染的機器會被病毒作者完全控制釋放批處理文件用于刪除病毒自身文件。
“盜號木馬”(Trojan/Win32.OnLineGames.vugj[GameThief]) 威脅級別:★★
? ? 該惡意代碼文件為雅虎奇摩盜號木馬類,該木馬程序采用了加密處理,目的為了躲避安全軟件對其查殺,病毒運行后創建批處理文件到病毒原文件所在目錄下,來修改系統時間將系統時間設置為2004年,等待15000MS后再次創建批處理將系統時間設置回當前正確的系統時間,目的為了使安全軟件過期失效從而對其無法主動監控查殺15000MS后病毒文件足以創建完畢,創建病毒DLL并拷貝病毒自身文件到Windir\Help目錄下,并將屬性設置為隱藏,試圖將病毒DLL文件注入到所有進程中,病毒文件創建完后,釋放批處理文件用于刪除病毒原文件體,遍歷“yahoobuddymain”窗口,利用消息鉤子、內存截取等技術盜取用戶的賬號、密碼、身份證號等信息,并在后臺將竊得的信息發送到作者指定的收信地址。
“vb木馬laj”(Trojan/Win32.VB.laj[Dropper]) 威脅級別:★★
? ? 該病毒為木馬類,病毒運行后復制自身到系統目錄,衍生病毒文件。修改注冊表,添加啟動項,以達到隨機啟動的目的。添加防火墻規則到Windows Firewall授權軟件列表,使病毒穿透防火墻不受阻擋。強行設置主頁,修改hosts文件信息。主動連接網絡,下載相關病毒文件信息。
?
“木馬下載者”(Trojan/Win32.Servill.hd[Downloader])威脅級別:★★
? ?? ? 該惡意代碼文件為木馬下載器,病毒運行創建互斥量名為"ffgfgh"防止病毒多次運行,后動態加載ADVAPI32.DLL并分別獲取該系統庫中的OpenSCManagerA、OpenServiceA、ControlService、CloseServiceHandle函數,調用該函數打開服務管理器,調用OpenServiceA函數打開wscsvc防火墻的服務,調用ControlService函數關閉防火墻服務及句柄,遍歷進程查找多款安全軟件進程,如有則調用"taskkill"命令將其進程強行結束,創建病毒注冊表服務、添加注冊表映像劫持,衍生隨機病毒名病毒文件到系統目錄和臨時目錄下,連接網絡下載大量病毒文件,病毒運行完畢后刪除自身。
“StartPage.xx”系列捆綁木馬? ? 威脅級別:★★★
? ? 它主要是借助非法下載站點來進行傳播,用戶訪問正規下載站點時,也有可能遭遇該毒。下載網站為了賺取軟件推廣費而故意設置的,目的是讓用戶盡可能多的下載程序。
??? 一些黑客團伙利用這種下載方式推廣自己的病毒木馬。他們利用一些下載網站求利心切、對合作伙伴所提供的下載鏈接審核不嚴的漏洞,買下鏈接位。然后就可以等著用戶自投羅網,主動下載種有病毒木馬的程序。
瘋狂下載者dyq”(Trojan/Win32.Small.dyq[Dropper])威脅級別:★★
? ? 該惡意代碼為下載者木馬,病毒運行后動態加載sfc_os.dll系統庫文件,并調用該庫文件序號為#5的函數,去掉對appmgmts.dll系統文件的保護,動態加載Advapi32.dll系統庫文件,并調用該庫文件的RegCloseKey、OpenSCManagerA函數,開啟AppMgmt服務,遍歷%System32%目錄下的appmgmts.dll,創建病毒文件替換系統的appmgmts.dll文件,并將病毒DLL文件時間設置為該系統DLL文件的創建時間,釋放驅動文件到臨時目錄下,等待啟動之后將刪除驅動文件,該驅動文件主要行為恢復SSDT過主動防御,調用StartServiceA函數啟動AppMgmt服務,以系統服務啟動病毒DLL文件,創建BAT批處理文件用于刪除病毒自身,結束安全軟件進程,將病毒DLL注入到svchost.exe進程中,開啟IE連接網絡下載病毒文件。
“魔獸竊賊”(Trojan/Win32.Small.dyq[Dropper])威脅級別:★★
? ? 該惡意代碼為下載者木馬,病毒運行后動態加載sfc_os.dll系統庫文件,并調用該庫文件序號為#5的函數,去掉對appmgmts.dll系統文件的保護,動態加載Advapi32.dll系統庫文件,并調用該庫文件的RegCloseKey、OpenSCManagerA函數,開啟AppMgmt服務,遍歷%System32%目錄下的appmgmts.dll,創建病毒文件替換系統的appmgmts.dll文件,并將病毒DLL文件時間設置為該系統DLL文件的創建時間,釋放驅動文件到臨時目錄下,等待啟動之后將刪除驅動文件,該驅動文件主要行為是恢復SSDT過主動防御,調用StartServiceA函數啟動AppMgmt服務,以系統服務啟動病毒DLL文件,創建BAT批處理文件用于刪除病毒自身,結束安全軟件進程,將病毒DLL注入到svchost.exe進程中,開啟IE連接網絡下載病毒文件。
“盜號木馬”(Trojan/Win32.Magania.biht[OnLineGames]) 威脅級別:★★
? ? 該惡意代碼文件為游戲盜號木馬,病毒運行后先刪除自身文件再衍生相同文件名的病毒到Windows字體目錄下,防止多個病毒文件產生的沖突,調用病毒自定義的函數“JUFndB4pARSJ”模塊來提升進程權限,添加注冊表病毒的CLSID值、HOOK啟動項,刪除System32%目錄下的verclsid.exe文件,病毒運行完畢后使用CMD命令刪除自身文件,查找含有:圖片和傳真、記事本、internet explorer、acdsee的標題窗口找到后并截圖將圖片保存到臨時目錄下,將病毒DLL注入到除系統進程外的所有進程中、安裝消息鉤子截取用戶賬號信息,獲取用戶賬戶信息后通過URL方式將截取賬戶信息及截取到得圖片發送到作者指定的地址中。
“間諜木馬變種acno”(Trojan/Win32.Zbot.acno[SPY])威脅級別:★★
? ? 病毒運行后,復制自身到%System32%目錄下,在該目錄下衍生多個文件;修改注冊表,使衍生的文件伴隨userinit.exe啟動以及將病毒文件加入到CMD.EXE的調用擴展中;將病毒主體添加到卡巴斯基反病毒軟件的信任區域;為卡巴斯基添加新規則開放最大權限;繞過金山反病毒軟件的主動防御;病毒運行完畢后刪除自身。該病毒會連接網絡向外發送本地機器的相關信息、下載病毒的最新版本到IE臨時目錄并執行,從而盜取或控制用戶的計算機。
“下載者木馬”(Trojan/Win32.Servill.hd[Downloader]) 威脅級別:★★
? ? 該惡意代碼文件為木馬下載器,病毒運行創建互斥量名為“ffgfgh”防止病毒多次運行,動態加載ADVAPI32.DLL并分別獲取該系統庫中的OpenSCManagerA、OpenServiceA、ControlService、CloseServiceHandle函數,調用該函數打開服務管理器,調用OpenServiceA函數打開wscsvc防火墻的服務,調用ControlService函數關閉防火墻服務及句柄,遍歷進程查找多款安全軟件進程,如有則調用"taskkill"命令將其進程強行結束,創建病毒注冊表服務、添加注冊表映像劫持,衍生隨機病毒名病毒文件到系統目錄和臨時目錄下連接網絡下載大量病毒文件,病毒運行完畢后刪除自身。
“欺騙者wsti”(Trojan/Win32.FraudLoad.wsti[Downloader])威脅級別:★★
? ? 該病毒為木馬類,該病毒利用Outlook Express郵件消息方式傳播自身,病毒運行后首先檢測注冊表是否有該病毒文件的鍵值,遍歷系統目錄查找病毒文件是否存在,通過判斷如果存在則退出進程不繼續連接網絡下載偽裝成殺毒軟件的惡意文件《AntivirusPro_2010》,否則將繼續運行,創建注冊表使傳輸指定后綴的文件不被阻止、添加注冊表啟動項,將自身拷貝并衍生文件到%Documents and Settings\Administrator\Application Data%\目錄內,連接網絡下載病毒文件并保存到該目錄下,下載完畢后調用ExitWindowsEx函數重啟計算機,啟動計算機之后病毒再次被啟動之后,在任務欄下彈出一個安全威脅警告信息,提示計算機存在安全威脅,并啟動衍生的病毒文件,該文件偽裝成安全軟件下載器連接網絡下載文件,該惡意軟件利用攻擊性和欺詐性與虛假的掃描檢測結果,誘導用戶購買下載其假冒產品。
?
代理下載者變種crxe”(Trojan/Win32.Agent.crxe[Downloader])威脅級別:★★
? ? 病毒運行后,衍生文件到系統目錄下,并刪除自身。修改注冊表創建一個服務啟動項,以達到隨機啟動的目的。將動態鏈接庫注入到explorer.exe進程,達到隱藏自身躲避防火墻的目的,并收集各種敏感信息。連接網絡到指定站點獲取下載列表并下載相關病毒文件;在下載的文件中主要為盜取用戶敏感信息的木馬,并嘗試關閉反病毒軟件。
“修改者木馬ejq”(Trojan/Win32.StartPage.ejq[Dropper])威脅級別:★★
? ? 該病毒為木馬類,病毒運行后遍歷進程,查找殺軟相關進程并關閉;刪除桌面上的IE瀏覽器圖標,創建一個執行指定主頁的網站,在系統目錄下衍生病毒配置文件,修改host文件,屏蔽部分網址導航網站并將其導航到指定頁面;修改注冊表添加啟動項,修改ie瀏覽器的默認主頁;連接指定的網站發送本地用戶相關的信息。
“霸族變種cezp”(Trojan/Win32.Buzus.cezp[Proxy]) 威脅級別:★★
? ? 該病毒為蠕蟲類病毒,該病毒文件對API函數進行了加密處理,病毒運行后解密部分API函數,將自身創建到進程中,讀取內存MZP標志,查找內存空間地址,并比較,申請內存空間將病毒代碼寫入到內存空間,在進程中創建線程釋放病毒文件到%System32%目錄下,修改注冊表使用系統文件達到啟動病毒的目的,連接網絡。
轉載于:https://www.cnblogs.com/xiaojinma/archive/2012/12/06/2805570.html
總結
- 上一篇: 如何使用ProSave软件对触摸屏进行O
- 下一篇: C++ vcpkg 安装