Worm.VcingT.w.102400

  病毒名稱(中文):
  磁碟機變種102400
  病毒別名:
  
  
  威脅級別:
  ★★☆☆☆
  病毒類型:
  木馬程序
  病毒長度:
  36864
  影響系統:
  Win9xWinMeWinNTWin2000WinXPWin2003
  
  病毒行爲:
  這是一個AUTORUN病毒,會關閉一些安全工具和殺毒軟件並阻止其運行運行,並會不斷檢測窗口來關閉一些殺毒軟件及安全輔助工具,破壞安全模式,刪除一些殺毒軟件和實時監控的服務,遠程注入到其它進程來啓動被結束進程的病毒,反複寫注冊表來破壞系統安全模式,病毒會在每個分區下釋放AUTORUN.INF來達到自運行.
  一、病毒通過修改系統默認加載的DLL列表項來實現DLL注入,並在注入後設置全局鈎子.
  通過遠程進程注入,並根據以下要害字關閉殺毒軟件和病毒診斷等工具:
  360safe
  360安全
  ieframe
  cabinetwclass
  mozillauiwindowclass
  metapad
  dr.web
  avg
  木
  tapplication
  AfxControlBar42s
  360safe
  360anti
  afx:
  金山
  thunderrt6main
  木
  antivir
  費爾
  微點
  kv
  monitor
  診
  具
  SREng介紹
  升級
  thunderrt6formdc
  ThunderRT6Timer
  ewido
  escan
  mcagent
  瑞
  防
  升
  bitdefender
  facelesswndproc
  狙劍
  防
  雲
  牆
  firewall
  eqsyss
  eset
  arp
  掃描
  病毒枚舉進程名,通過搜索以下要害字來關閉進程:
  rav
  avp
  twister
  kv
  watch
  kissvc
  scan
  guard
  找到帶有要害字的窗口後,就往目標窗口發送大量的垃圾消息,是其無法處理而進入假死的狀態,當目標窗口接受到退出、銷毀和WM_ENDSESSION消息就會異常退出。
  病毒關閉殺毒軟件的方法沒有什麽創新,但要害字變的更短,使一些名字相近的進程或窗口也被關閉。
  二、修改注冊表破壞文件夾選項的隱藏屬性修改,使隱藏的文件無法被顯示.
  三、刪除注冊表裏關于安全模式設置的值,使安全模式被破壞,病毒會反複改寫注冊表,使清理專家和AV終結者專殺等修複安全模式的工具失效。
  四、在C:盤目錄下釋放一個NetApi00.sys的驅動文件,並創建服務加載它,驅動的作用就是讀寫內核空間的內存。病毒把系統的內核文件加載起來,然後經過重定位,通過驅動來恢複系統中的SSDTHOOK.這使得很多的實時監控和主動防禦攔截監控失敗,病毒恢複SSDT後就刪除自己的驅動。
  五、刪除注冊表HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer鍵及其子鍵,使用戶設定組策略中的軟件限制策略的設置失效。
  六、不斷刪除注冊表的要害鍵值來來破壞安全模式和殺毒軟件和主動防禦的服務,使很多主動防禦軟件和實時監控無法再被開啓。
  七、病毒在每個硬盤分區和可移動磁盤的根目錄下釋放autorun.inf和pagefile.pif兩個文件,來達到自運行的目的。並以獨占方式打開這兩個文件,使其無法被直接刪除、訪問和拷貝。
  倘若檢測到病毒進程被關閉,就會立即又啓動病毒進程,若某些安全工具阻止了它啓動進程,病毒就馬上重啓系統!
  十、病毒並不主動添加啓動項,而是通過重啓重命名方式來把C:\下的0357589.log文件(0357589是一些不固定的數字)改名到」啓動」文件夾下的~.exe.664406.exe(664406也不固定)。重啓重命名優先與自啓動,啓動完成後又將自己刪除或改名回去.這種方式自啓動極爲隱蔽,現有的安全工具都無法檢測的出來.AV終結者專殺無法徹底清除這個磁碟機變種,正是因爲這個原因!
  感染途徑:
  1.可移動磁盤的自運行
  2.其它下載者病毒或惡意軟件
  3.惡意網站下載