廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1736 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] “代理蠕蟲變種ZAH”病毒技術細節
“代理蠕蟲變種ZAH”病毒技術細節
來源:瑞星公司 時間:2007-11-05 17:11:53
病毒摘要 技術細節
這是一個蠕蟲病毒.使用Microsoft Visual C++ 6.0編寫

1.exe部分

病毒運行後,創建一個線程,該線程先利用EnumWindows遍曆當前係統內的窗口,在CallBack中利用GetClassName,GetWindowText,查找"KAVStart"等名稱,找到後向該窗口發送WM_CLOSE和WM_COMMAND消息,再使用FindWindowEx查找"#32770","金山毒霸","Button",找到後向該窗口發送WM_LBUTTONDOWN,WM_LBUTTONUP消息,關閉殺毒軟件.病毒使用Process32First, Process32Next遍曆係統進程,查找進程中是否存在avp.exe如果遍曆到該進程,則使用GetSystemTime獲得當前係統時間,比較年份是否小於2005,如果不小於,則使用SetSystemTime將係統時間的年份改爲2005年,使avp殺毒軟件過期.

病毒會比較是否有"-k"參數,如果沒有,則創建一個Dispaly Name爲"61957A08"的服務,如果有的話,則創建一個線程.從自身文件中讀取一個94A5415E.DLL放到%SYSTEM32%目錄中,然後使用OpenProcess打開winlogon.exe進程,將94A5415E.DLL名稱使用WriteProcessMemory寫入,再使用CreateRemoteThread調用94A5415E.DLL.到此exe的工作完畢.

2.DLL部分

病毒上來先創建一個線程.該線程利用fopen,fseek,fread等,打開%SYSTEM32%目錄下的61957A08.EXE文件(病毒本身),通過解密得到"http://nx.51ylb.c..."這個網址.再加載"rpcrt4.dll"調用 "UuidCreateSequential"來獲得當前機器的網卡MAC地址,再使用GetComputerNameA得到當前係統的計算機名稱.再使用strcat把"http://alexa.very..."這個網址連接起來.

病毒判斷加載當前DLL的進程

a)如果是winlogon.exe進程,則創建五個線程.其中:

線程一:獲取當前計算機時間,比較年份是否大於2005,如果大於則改年份改爲2005

線程二:創建一個服務,使計算機在啓動時自動加載病毒

線程三:先通過解密得到"61957A08"字符,再加病毒本身複制到"SYSTEM32"目錄中.

線程四:刪除注冊表裏的SYSTEM\CurrentControlSet\Services\ERSvc子項.並把SOFTWARE\Microsoft\PCHealth\ErrorReporting下的ReportBootOk,DoReport,ShowUI三個DWORD值設爲0(修改的目的就是爲了禁止錯誤報告提示)

線程五:利用PathFileExistsA查找"SYSTEM32"目錄中的"61957A08.exe"文件是否存在,如果不存在,則下載http://nx.51ylb.cn/...ata.txt列表文件,根據列表中的版本,地址,網址等信息.下載文件,修改IE主頁等操作.遍曆磁盤,向可移動磁盤中寫入auto.exe(爲病毒本身)和autorun.inf.其中autorun.inf的內容爲:
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe

修改注冊表內Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\ Hidden\SHOWALL的CheckedValue值爲0達到隱藏文件的目的.

最後將DLL注入到explorer.exe進程中.

b)如果是explorer.exe進程,則創建兩個線程,其中:

線程一:重複上面winlogon.exe裏的線程五的步驟.

線程二:重複上面exe部分查找病毒軟件窗口並關閉的步驟.

c)如果不是以上兩個進程,則複制61957A08.exe到%SYSTEM32%目錄中.



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2007-11-08 23:28 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.058340 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言