微点交流论坛 - 病毒快报 - 恶意广告 AdWare.Win32.Kzxf.a

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 病毒快报 » 恶意广告 AdWare.Win32.Kzxf.a

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#1 恶意广告 AdWare.Win32.Kzxf.a

病毒名称

AdWare.Win32.Kzxf.a

捕获时间

2007-11-28

病毒症状

　　该病毒使用VC编写的恶意广告程序，长度为106,496字节，图标windows默认可执行文件图标，病毒扩展名为exe，主要通过网页挂马、文件捆绑。

病毒分析

　　该恶意广告程序被激活后，在%systemroot%\system32下生成aticheck.exe和videospd.dll文件，在%systemroot%\system32\drivers下生成一个驱动文件，该文件的文件名由八位随机字母组成（如：MGLZISWN.SYS）；然后病毒替换桌面及任务栏中的IE快捷方式，使得用户运行IE时打开的主页为“www.kzxf.net”；接着通过调用SCM（服务管理器）写注册表，将dceboinw.sys注册成启动方式为“boot”的同名系统驱动程序，并将驱动添加到“System Bus Extender”组中，所以其加载方式优先于常规设备驱动程序，并调用SCM加载驱动，锁定广告程序其他进程无法被用户结束；之后病毒将从网络上下载文件并将它保存到C盘根目录下命名为tmp.dup，用于向外部数据库中写入用户信息，包括：MAC地址，IP地址等信息；接着利用一个批处理将自己删除。添加注册表启动项启动待重启后自动运行ATICheck.exe，ATICheck.exe激活Rundll32.exe加载VideoSpd.dll发包进行刷流量。
　　驱动被加载后，通过修改SSDT中系统服务ZwSetValueKey的入口地址，使得用户无法设置病毒相关注册表键值，从而无法清除病毒。

修改hosts文件
　　共修改hosts本地DNS解析309条，其中48条记录为屏蔽瑞星、瑞星卡卡、卡巴斯基、360、金山、江民、超级兔子等安全软件网站，261条记录为劫持多家网站域名转向221.130.185.110，试图为该网站增加流量。
　　

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页挂马、文件捆绑

安全提示

　　已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效清除该广告程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；

图1

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“AdWare.Win32.Kzxf.a”，请直接选择删除（如图2）。

图2

　　使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

　　没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件高效清除各类未知病毒和新病毒。

[ Last edited by pioneer on 2007-11-30 at 10:42 ]

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2007-11-29 21:02

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号