和AV终结者如出一辙的Worm.Downloader.cr.34304
金山反病毒中心截获最新的杀软克星病毒,该病毒和AV终结者如出一辙,某些具体的功能方面比AV终结者有更胜一筹。
以下是该病毒的详细分析报告:
关键字: 蠕虫 ,auto 病毒 , 映像劫持 , 修改主页 , 纂改功能
病毒行为:
3. 病毒运行后,任务管理器被屏蔽不可使用 ( 如图 ) 。
7. 会监视窗口,当在浏览器输入与 " 安全 " 或 " 病毒 " 相关的网站,病毒会把浏览器立即关闭。
8. 打开浏览器会弹广告。
[url]http://w.[/url]******.com/tempM.exe
[url]http://w.[/url]******.com/tempN.exe
[url]http://w.[/url]******.com/tempO.exe
[url]http://w.[/url]******.com/tempP.exe
[url]http://w.[/url]******.com/tempQ.exe
[url]http://w.[/url]******.com/tempR.exe
[url]http://w.[/url]******.com/tempS.exe
[url]http://w.[/url]******.com/tempT.exe
[url]http://w.[/url]******.com/tempU.exe
[url]http://w.[/url]******.com/tempV.exe
[url]http://w.[/url]******.com/tempW.exe
以下是该病毒的详细分析报告:
病毒全名
Worm.Downloader.cr.34304
病毒长度
34304
威胁级别
★★
病毒类型
蠕虫
病毒简介
这是一个蠕虫病毒。该病毒运行后,会在各盘产生
auto
病毒。并在系统盘的多个目录下生成大量病毒文件。
而且病毒会通过映像劫持的方法,使得各安全软件无法使用。纂改文件隐藏功能。修改了浏览器主页,在打开浏览器时会自行下载病毒,并且弹出广告等行为。
关键字: 蠕虫 ,auto 病毒 , 映像劫持 , 修改主页 , 纂改功能
病毒行为:
1.
病毒运行后,产生以下病毒文件
%local settings%\temporary Internet Files\Content.IE5\EC5UKR17\tj[1].htm
%local settings%\temporary Internet Files\Content.IE5\GR8I0NOH\down[1].txt
%local settings%\temporary Internet Files\Content.IE5\YF9D3U1Z\tempA[1].exe
%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
在
%windows%\Fonts
下添加许多后缀为
"fon"
的文件
在
%windows%\system32
下添加许多后缀为
"dll"
和
"exe"
的病毒文件
在
%temp%
目录下同样产生病毒文件
2.
在各盘目录下,会生成
AUTO
病毒,分别是
niu.exe
和
autorun.inf
。其中,
autorun.inf所指向的病毒是
niu.exe
,当用户左键双击进入该盘时,病毒随之触发。
3. 病毒运行后,任务管理器被屏蔽不可使用 ( 如图 ) 。
4.
病毒运行后,隐藏文件的功能被纂改
,
并且把文字内容也修改。
那句话的全部是“
禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽。
”
5.
病毒利用映像劫持的技术,使众多安全软件不可使用
,
只要以下有列出来的文件名
,
当病毒监测到时
,
就会自行关闭。看看,还有哪个病毒劫持的安全软件比它多。
6.
病毒把主页修改为
[url]www.baidu.com[/url]
7. 会监视窗口,当在浏览器输入与 " 安全 " 或 " 病毒 " 相关的网站,病毒会把浏览器立即关闭。
8. 打开浏览器会弹广告。
9.病毒会从以下地址下载更多木马
[url]http://w.[/url]******.com/tempA.exe
[url]http://w.[/url]******.com/tempB.exe
[url]http://w.[/url]******.com/tempC.exe
[url]http://w.[/url]******.com/tempD.exe
[url]http://w.[/url]******.com/tempE.exe
[url]http://w.[/url]******.com/tempF.exe
[url]http://w.[/url]******.com/tempG.exe
[url]http://w.[/url]******.com/tempH.exe
[url]http://w.[/url]******.com/tempI.exe
[url]http://w.[/url]******.com/tempJ.exe
[url]http://w.[/url]******.com/tempK.exe
[url]http://w.[/url]******.com/tempL.exe
[url]http://w.[/url]******.com/tempM.exe
[url]http://w.[/url]******.com/tempN.exe
[url]http://w.[/url]******.com/tempO.exe
[url]http://w.[/url]******.com/tempP.exe
[url]http://w.[/url]******.com/tempQ.exe
[url]http://w.[/url]******.com/tempR.exe
[url]http://w.[/url]******.com/tempS.exe
[url]http://w.[/url]******.com/tempT.exe
[url]http://w.[/url]******.com/tempU.exe
[url]http://w.[/url]******.com/tempV.exe
[url]http://w.[/url]******.com/tempW.exe
10.通过以下文本里的文件,对以下关键字进行监测,检测后尝试关闭相关网页。
[url]http://w.[/url]******.com/guanjian.txt
但是这里作者却把两个杀软的名字弄错
------------------------
木马
病毒
360
瑞星
卡吧
(
错
,
应为
"
卡巴
")
金山
毒霸
江名
(
错
,,
应为
"
江民
")
------------------------