危险等级:★★★
病毒名称:Worm.Win32.AnHao.a
截获时间:2007-11-1
入库版本:20.16.32
类型:蠕虫病毒
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:中
全球化传播态势:低
破坏力:高
清除难度:困难
破坏手段:下载,传播
技术细节
这是一个DELPHI编写的蠕虫病毒,伪装成系统文件潜伏在用户计算机中,主要功能执行下载后的可疑文件,并通过移动存储设备传播,与安全厂商对抗。
1、病毒运行后,首先将自身复制到%Systemroot%\system32目录下名为: chostbl.exe,并将当前系统目录中的urlmon.dll复制为lovesbl.dll,然后向可移动存储设备和本地磁盘写入autorun.inf和病毒本身(sbl.exe),其中autorun.inf的内容为::
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
达到自启动和传播的目的。
2、病毒调用CreateProcess打开进程c:\windows\system32\svchost.exe,然后调用VirtualAllocEx,WriteProcessMemory实现往此进程写入病毒代码,实现下载功能。其下载功能是通过调用”URLDownloadToFileA”实现的。
3、添加注册表服务项:
(1) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AnHao_VIP_CAHW
(Display Name)A GooD DownLoadCAHW= (IMAGEPATH)%SYSTEM%\CHOSTBL.EXE 实现开机自启动目的
4、使用net stop关掉系统自带的防火墙,利用"LookupPrivilegeValueA","AdjustTokenPrivileges"提升自己的运行权限,然后遍历系统所有进程,查找以下进程:360tray.exe、360safe.exe、runiep.exe、avp.exe
如发现对应进程,则利用"TerminateProcess"关掉进程,使当前系统失去保护。
5、查找AVP.AlertDialog、AVP.Product_Notification窗口,如果存在则发送WM_QUIT消息关闭窗口。
6、查找安全软件窗口标题的关键字,试图关闭安全软件,关键字包括 :防火墙、 卡卡、 江民、金山、任务管理器 、木马清道夫、木马克星 、超级巡警 、NOD32核心 、安全 、安全卫士 、木马杀客 、NOD32、内核 、主线程、微点。
7、尝试下载hxxp://qqq.wXXXX.cn/main.exe到c:\Program Files\Common Files\WIN.exe并运行。
