您好,欢迎访问郑州铁路职业技术学院信息化办公室!
学校首页 | 联系方式

“反病毒杀手变种CK”病毒摘要

发布时间:2017-06-19作者:梅茜审核人:吉鹏霄发布人:梅茜浏览次数:414

        这是一个蠕虫病毒,利用Upack程序进行保护

        病毒会运行后将自身复制到以下几个地方C:\Program Files\Common Files\System\dwshvkv.exe,C:\Program Files\Common Files\Microsft Shared\xemjgnn.exe,C:\Program Files\meex.exe,并利用SetFileAttributesA把文件设置为系统和隐藏属性.

        病毒会把服务列表中的wscsvc, helpsvc, wuauserv, SharedAccess这四个服务器,利用OpenSCManagerA, OpenServiceA, ControlService设置为停止状态.

        病毒会使用OpenMutex查找名为” ###GW%28C?D87I>K7”的实例,如果存在则继续工作,如果查找失败则直接退出.

        病毒运行后,先利用"LookupPrivilegeValueA","AdjustTokenPrivileges"提升自己的运行权限,然后遍历系统所有进程,查找下列进程: "360Safe.exe", "360tray.exe" ,"VsTskMgr.exe","UpdaterUI.exe","TBMon.exe", "scan32.exe", "VPC32.exe","VPTRAY.exe", "KRegEx.exe", "KRegEx.exe","kvsrvxp.kxp","kvsrvxp.exe","KVWSC.EXE", "Iparmor.exe", "AST.EXE",如发现上述中的进程,则利用"TerminateProcess"关掉进程,使当前系统失去保护.病毒还会修改系统时间的方式,使AVP杀毒软件失效

        病毒会使用FindWindow查找'"AV终结者/8749"木马专杀', 'IceSword',, '编辑字符串', '编辑 DWORD 值',等窗口,向这些窗口发送WM_QUIT消息和模拟键盘操作结束这些软件进程.

       病毒将自身复制到%SYSTEM32%目录,并将自已重命名为sotogpk.exe,并利用GetDriveType判断,向可移动存储设备和本地磁盘写入autorun.inf和病毒本身(explorer.exe),其实autorun.inf的内容如下:
 [AutoRun]
open=sotogpk.exe
shell\open=打开(&O)
shell\open\Command=sotogpk.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=sotogpk.exe

        病毒接下来,会修改注册表的如下地方
 SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall\ 将CheckedValue值赋为0

        修改这里是为了隐藏文件
 HKEY_CLASSES_ROOT\\Rising.QuickScan\\shell\\open\\command 将这里的值改为C:\\windows\\system32\\iexplorer.exe

        使瑞星的快捷扫描指向病毒.
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.EXE\
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonxp.kxp\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVWSC.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nod32kui.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Frameworkservice.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mmsk.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Wuauclt.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ast.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WOPTILITIES.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.EXE\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRunKiller.exe\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPC32.exe\
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPTRAY.exe\

        病毒会在上述键值内,加入 Debugger = "C:\WINDOWS\system32\iexplorer.exe" 子键和键值.被修改后,如果运行上述程序,刚被直接指向到C:\WINDOWS\system32\iexplorer.exe这个病毒上面

        还会修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项,在该项下面增加"sotogpk" = C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\XEMJGNN.EXE, "smqqtbd" = C:\PROGRAM FILES\COMMON FILES\SYSTEM\DWSHVKV.EXE两个键值达到自启动的目的

        病毒还会专门针对瑞星杀毒软件进行破坏,病毒会换SYSTEM32目录下的bsmain.exe改名为bsmains.exe就使得瑞星开机杀毒被破坏.

        病毒利用SetTimer设置一个回调函数,每两分钟执行一次,该段代码的作用就是复制自身到%SYSTEM32%目录中,向可移动存储设备和本地磁盘写入autorun.inf和病毒本身,并且从http://www.webXXX.com/ReadDown.txt, "http://www. webXXX.com/TDown1.exe

        这两个网址上下载文件列表,根据列表中的地址再进行下载病毒,窃取用户信息.

安全建议:

        1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。

        2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。

        3 不浏览不良网站,不随意下载安装可疑插件。

        4 不接收QQ、MSN、Emial等传来的可疑文件。

        5 上网时打开杀毒软件实时监控功能。

        6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。

清除办法:

        瑞星杀毒软件清除办法:

        安装瑞星杀毒软件,升级到20.17.31版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。


信息化专题 Informatization