设为首页
收藏本站
广告联系
网站地图
首页 | 免费空间 | 免费域名 | 免费QQ | 免费邮箱 | 免费相册 | 免费短信 | 免费统计 | 免费序列号 | 有奖活动 | 其它免费 | 站长资讯 | 攻略秘籍 | 公告
文章搜索
  您的位置:随便免费资源网站长资讯网络安全 → 正文
"瑞星仇恨者"病毒详细分析
作者: 风允帆  时间: 2008-04-24  人 气: 17

    这是一个模仿瑞星杀毒软件的恶意程序,使用VB编写,包括版本信息,文件图标均和瑞星的文件一致,并试图卸载瑞星杀毒软件,覆盖感染可执行文件。因此可以把它叫做“瑞星仇恨者”

    病毒具体分析如下:
    File: bsmain.exe
    Size: 131072 bytes
    File Version: 20.00
    Modified: 2008年3月7日, 22:18:04
    MD5: 1EFE96D8D20513351DB5C1681D7BBAFE
    SHA1: 3447D88F4789A1F969F7E0A2501CE16B629DC63D


    1.病毒初始化,试图卸载瑞星杀毒软件,首先尝试直接启动C:\Program Files\Rising\Rav\update\setup.exe,如果找不到则在注册表中查找SOFTWARE\rising\Rav键,并利用 RegQueryValueEx函数获得该键下面的installpath信息,即瑞星的安装路径。之后会在后台启动瑞星安装目录下Update\ Setup.exe的卸载程序,成功启动后,会查找类名为Button,窗口为卸载(&U)的窗口,然后PostMessage发送消息,接着查 找名为“下一步(&N)”的窗口,再PostMessage模拟用户按键发送消息,这样就完成了模拟卸载的过程。

    2.释放如下文件或者副本:
    C:\Windows\system32\bsmain.exe(病毒文件)
    不断的遍历A-Z盘 查找可移动存储设备,如果有则在其中生成bsmain.exe和autorun.inf达到随移动存储传播的目的。

    3.在注册表中添加如下启动项目
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的
      [Beijing Rising Technology Co., Ltd.]
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的
          [Beijing Rising Technology Co., Ltd.]

    以此达到开机启动自身的目的

    4.添加映像劫持项目劫持如下常见杀毒软件
    360Safe.exe
    360tray.exe
    adam.exe
    AgentSvr.exe
    AppSvc32.exe
    ArSwp.exe
    AST.exe
    autoruns.exe
    avconsol.exe
    avgrssvc.exe
    AvMonitor.exe
    avp.com
    avp.exe
    ccSvcHst.exe
    ceSword.exe
    EGHOST.exe
    FileDsty.exe
    FTCleanerShell.exe
    FYFireWall.exe
    HijackThis.exe
    IceSword.exe
    iparmo.exe
    Iparmor.exe
    isPwdSvc.exe
    kabaload.exe
    KaScrScn.SCR
    KASMain.exe
    KASTask.exe
    KAV32.exe
    KAVDX.exe
    KAVPF.exe
    KAVPFW.exe
    KAVSetup.exe
    KAVStart.exe
    KISLnchr.exe
    KMailMon.exe
    KMFilter.exe
    KPFW32.exe
    KPFW32X.exe
    KPfwSvc.exe
    KRegEx.exe
    KRepair.com
    KsLoader.exe
    KVCenter.kxp
    KvDetect.exe
    KvfwMcl.exe
    KVMonXP.kxp
    KVMonXP_1.kxp
    kvol.exe
    kvolself.exe
    KvReport.kxp
    KVScan.kxp
    KVSrvXP.exe
    KVStub.kxp
    kvupload.exe
    kvwsc.exe
    KvXP.kxp
    KvXP_1.kxp
    KWatch.exe
    KWatch9x.exe
    KWatchX.exe
    loaddll.exe
    MagicSet.exe
    mcconsol.exe
    mmqczj.exe
    mmsk.exe
    Navapsvc.exe
    Navapw32.exe
    nod32.exe
    nod32krn.exe
    nod32kui.exe
    NPFMntor.exe
    PFW.exe
    PFWLiveUpdate.exe
    QHSET.exe
    QQDoctor.exe
    QQKav.exe
    Ras.exe
    RsAgent.exe
    Rsaupd.exe
    rstrui.exe
    runiep.exe
    safelive.exe
    shcfg32.exe
    SmartUp.exe
    SREng.EXE
    symlcsvc.exe
    SysSafe.exe
    TrojanDetector.exe
    Trojanwall.exe
    TrojDie.kxp
    UIHost.exe
    UmxAgent.exe
    UmxAttachment.exe
    UmxCfg.exe
    UmxFwHlp.exe
    UmxPol.exe
    upiea.exe
    UpLive.exe
    USBCleaner.exe
    vsstat.exe
    webscanx.exe
    WoptiClean.exe

    劫持到C:\Windows\system32\bsmain.exe

    5.遍历非系统分区,覆盖感染exe文件,被感染的文件无法修复。由于病毒本体采用瑞星杀毒软件的图标,所以被感染的文件也全变成瑞星杀毒软件的模样...

    6.修改txt文件关联指向C:\Windows\system32\bsmain.exe
相关文章:  
·教你手动清除file.exe病毒
·天网安全在线推出全国首个免费在...
·让你的U盘永远隔离木马病毒
·剑盟中国论坛,开放注册中,需要...
·几条常用的NET命令
·教你一招就去除QQ2008面板搜索框
·趋势科技杀毒软件2008全年免费使...
·卡巴斯基杀毒软件的十九种使用方...
·QQ异地登录的原因及应对方法
·清除wincom.exe病毒
·教你手动查杀Trojan.StartPage.x...
·关于使用影子系统后中病毒的问题
·关于病毒常识的问题
·“VB木马点击器变种ZXY”病毒
·Trojan.DL.Agent.vp 病毒手动清除...
·入侵命令详解
·教你自己动手清除file.exe病毒
·卡巴斯基6.0/7.0添加/删除Key的方...
相关评论:
热门文章
·清除wincom.exe病毒
·开机找不到指定模块***.dll文件的
·趋势科技杀毒软件2008全年免费使
·2007年全球十二大防火墙排行榜
·清除pfcexkt.exe、hmbduoj.exe病
推荐文章
·测试一下你的杀毒软件是不是垃圾
·高人评四大杀毒软件(卡巴 麦咖啡
·2007年全球十二大防火墙排行榜
·如何巧妙从进程信息中判断病毒和
·局域网IP地址冲突的原因及其解决
新增文章
·卡巴斯基6.0/7.0添加/删除Key的方
·教你自己动手清除file.exe病毒
·入侵命令详解
·Trojan.DL.Agent.vp 病毒手动清除
·“VB木马点击器变种ZXY”病毒
 
广告位招租