» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » “猫癣”病毒完整分析   作者: 标题: “猫癣”病毒完整分析 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #1  “猫癣”病毒完整分析 一、现象描述： 1.感染“猫癣下载器”的电脑速度会明显变慢，杀毒软件反复提示发现病毒不能完全清除； 2.非系统盘的可执行文件文件目录发现“usp10.dll”文件； 3.部分用户的电脑感染猫癣下载器会出现弹出大量广告页面、“QQ医生”扫描功能无法正常使用，迅雷不能正常使用等各种症状； 4.部分用户查毒以后将导致输入法无法正常使用； 5.QQ，网游游戏账号被盗。 二、行为描述： 1、对抗安全软件 (1) 病毒通过给进程照相对比的方式找到以下软件的进程然后调用windows TerminateProcess函数尝试将其结束。病毒作者未测试方案可行性，目前具有自保护功能的杀毒软件（比如毒霸）此方法无效 kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe ccenter.exe ras.exe  rstray.exe rsagent.exe ravtask.exe ravstub.exe ravmon.exe ravmond.exe avp.exe  360safebox.exe 360Safe.exe Thunder5.exe rfwmain.exe rfwstub.exe rfwsrv.exe (2) 调用360保险箱自带卸载参数卸载保险箱，并修改注册表关闭360安全卫士的实时监控遍历当前进程，发现存在"safeboxTray.exe"进程，获取其文件路径，并以"/u"参数打开"safeboxTray.exe"进程，"/u"参数是其自带的卸载参数。 修改注册表 HKLMSOFTWARE360Safesafemon "MonAccess"        REG_DWORD        0 "SiteAccess"    REG_DWORD        0 "ExecAccess"    REG_DWORD        0 "ARPAccess"        REG_DWORD        0 "weeken"        REG_DWORD        0 "IEProtAccess"    REG_DWORD        0 "LeakShowed"    REG_DWORD        0 "UDiskAccess"    REG_DWORD        0 (3) 创建线程关闭icesword之类的安全软件的窗口 病毒检查当前窗口的class（类）是否为"AfxControlBar42s"，如果是则向此窗口发送WM_CLOSE（关闭消息）消息，并模拟键盘的回车键点击“是”。 2、破坏系统设置 (1) 替换下载并替换HOSTS文件，从而屏蔽竞争对手的木马下载域名 下载/news/UploadFiles_9994/200902/20090208165904878.jpg，保存到%sys32dir%driversecthosts文件 (2) 更改显示隐藏文件，使得病毒释放的部分文件不被用户发现 修改以下注册表键值，来隐藏文件 HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced "Hidden"            REG_DWORD        0 "SuperHidden"        REG_DWORD        0 "ShowSuperHidden"    REG_DWORD        0 (3) 添加对迅雷的映像劫持（IFEO），感染后不能正常使用迅雷 HKLMSOFTWAREMicrosoftWindows NTCurrentVersion Image File Execution OptionsThunder5.exe "Debugger"        REG_SZ        "svchost.exe" 3、病毒不断复活，难以清除 (1) 猫癣下载器使用机器狗的穿还原的技术修改ctfmon.exe(此程序用先是当前输入法状态)，若此文件被杀毒软件查杀，则用户不能切换输入法输入中文。 (2) 猫癣下载器，使用了劫持dll文件的方式，在所有非系统盘的可执行文件所在目录释放大量“usp10.dll”文件，当用户发现电脑“中招以后”即使进行重新安装，却因为这个马甲dll没有被清除导致再度感染。 (3) 猫癣下载器在局域网中会尝试使用扫荡波（MS08-067）漏洞攻击局域网的用户，若用户没有及时修补扫荡波漏洞将可能反复被感染。 (4) 由于很多网站安全意识薄弱，恶意代码被轻松植入，猫癣下载器借IE0day漏洞、Flashplayer、Realpaly、迅雷5、暴风影音、联众世界、微软access漏洞等漏洞在网络广泛传播，用户访问网页的时候就有可能再次感染病毒。 4、猫癣下载器给电脑带来的危害 猫癣下载器下载针对魔兽世界、大话西游OnlineII、剑侠世界、完美系列游戏、梦幻西游、魔域等十余款热门网游、以及QQ的盗号木马，企图盗窃受害用户网络虚拟财产。 三、防御方案 1、病毒防御方案 (1) 更新病毒库、开启实时监控 金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2009年1月21日的病毒库即可查杀以上病毒，但病毒产业链的从业者会不断更新恶意软件，现在正处于黑色产业和安全厂商竞速的阶段。专家提醒，一定要开启实时监控功能，以降低安全风险。 (2) 使用金山系统清理专家打全补丁 安装金山系统清理专家不会与任何杀毒软件产生冲突，所以非毒霸用户也可以放心下载此软件更新漏洞补丁，特别提醒局域网用户 及时安全ms08-67漏洞以防御病毒攻击。特别提醒中毒的用户不要轻易重装系统，因为新装的系统存在大量漏洞，极易再次中毒。 (3) 推荐网民安装金山网盾以防止该病毒通过网页恶意代码入侵你的系统。 2、病毒查杀方案： 金山系统急救箱可修复猫癣下载器造成的许多异常。因为金山系统急救箱不是依靠病毒特征查杀的，在使用急救箱修复杀毒软件和系统异常之后，强烈建议使用杀毒软件全面扫描你的系统。 3 特别提醒： 某些下载器会造成用户打不开金山系统急救箱下载页面，用户可以通过搜索其他合作站点的下载地址安装此产品。 其他建议： 由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机 ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-13 00:20 杀毒小强手 注册用户 积分 55 发帖 55 注册 2009-2-15 #2   这是从金山那边复制过来的呗？那么微点能杀吗？ ※ ※ ※ 本文纯属【杀毒小强手】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-15 11:21 专业路过 中级用户 积分 375 发帖 373 注册 2009-2-15 #3   都是什么啊，看不懂的路过 ※ ※ ※ 本文纯属【专业路过】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-15 19:49 zzj273457914 新手上路 积分 2 发帖 2 注册 2009-2-15 #4   在百度里收了一下好像就是犇牛。... ※ ※ ※ 本文纯属【zzj273457914】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-16 13:16 userid 注册用户 积分 109 发帖 109 注册 2006-6-20 #5   http://push.db.kingsoft.com/ksfak/install/install.exe 金山系统急救箱--提示：XP环境下使用， ※ ※ ※ 本文纯属【userid】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ http://mhxygame.mycool.net   梦幻西游 2009-2-21 17:38 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号