标题: 2008年10月15日病毒预警 [打印本页]

---

作者: mingleng     时间: 2008-10-16 18:11    标题: 2008年10月15日病毒预警

2008年10月15日病毒预警
一、“木马下载者gkm”（Trojan-Downloader.Win32.Small.gkm）威胁级别：★★★★ 740wi)% Q  
    该病毒为木马下载者病毒，病毒运行后获取系统文件夹路径，释放驱动文件到%system32%\drivers\目录下，重命名为uuid.sys，等待加载驱动成功后将该驱动文件删除，加载urlmon.dll调用urldownloadtofileaAPI函数，并隐藏创建IExplorer.exe进程写入224字节数据连接网络下载文件，将下载后的文件保存到%Documents and Settings%\当前所在用户\Local Settings\Temp目录下，重命名为：update.exe，并自动运行该病毒文件，衍生病毒DLL文件到%Windir%目录下并重命名为：linkinfo.dll并将其注入到Explorer.exe进程中，创建BAT文件删除自身，生成驱动文件%SystemRoot%\system32\drivers\IsDrv118.sys（加载后删除），并调用ZwSetSystemInformation加载驱动，病毒通过检查是否是在VMWare下运行，如果是直接关闭虚拟机，以此来防止自己在虚拟机中被运行，从"%Windir%"目录开始感染所有磁盘中后缀名为"exe"的文件，病毒在感染时，不感染"QQ"、"winnt"和"windows"目录下的程序文件，通过修改卡卡助手的驱动"%system32%\drivers\RsBoot.sys"入口，使该驱动在加载时失败，枚举并尝试向局域网中计算机的隐藏共享文件夹"%s\\IPC$"、"C$"等写入名称为"setup.exe"的病毒源文件，尝试连接时使用"Administrator"作为用户名。 IJ5
j]a O  
Rt}Qh{^  
nA.Q\xj  
二、木马下载者ncg”（Trojan-Downloader.Win32.Agent.ncg）威胁级别：★★★ #?:@/1if  
    该病毒为木马下载者，病毒运行后释放ctfmon.exe文件到%Windir\目录下，并释放驱动文件ntdfdisk.sys到%System32%\drivers\目录下，创建注册表服务项，启动后删除ntdfdisk.sys与注册表相关键值。并向正常的exlorer.exe文件写入数据，造成用户的explorer.exe进程瞬间崩溃，判断当前进程里是否存在BKPCLIENT.EXE和MENU.EXE（贝壳磁盘保护）2个进程，存在写驱动穿透还原系统。释放的BAT文件，删除病毒释放到的各个文件夹下的文件，连接网络下载多个恶意程序，由于病毒种类繁多，给用户清理病毒带来极大的不便。 <6+y/\l;  
,(
{Jrz  
出处：安天实验室 5zrXxAo|  
8`%:6=1y{

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn