中文名称:“注入木马下载器变种RJH”
危险等级:★★★
病毒名称:Trojan.DL.Win32.Inject.rjh
截获时间:2007-11-29
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:中
清除难度:中
破坏力:中
破坏手段:下载病毒程序并有反杀毒软件功能
技术细节
病毒运行后首先会判断System32路径下是否有guangd.exe这个文件,如果不存在则病毒没有在用户机器中运行过,然后病毒会进行初始化工作;如果存在这个文件,病毒则会实现下载功能:
初始化操作:
病毒首先会把系统时间改为2005-10-31,使得卡巴斯基杀毒软件失效。
然后遍历进程查找进程中是否存在以下反病毒软件进程,如果存在,则结束进程:
360rpt.exe、360Safe.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exenod32krn.exe、nod32kui.exe、PFW.exe、PFWLiveUpdate.exe、QHSET.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe…
然后添加以下注册表项实现映像劫持,使得用户启动以下进程时启动病毒程序:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions
\360rpt.exe\Debugger = "C:\WINDOWS\system32\guangd.exe"
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions
\IceSword.exe\Debugger = "C:\WINDOWS\system32\guangd.exe"…
然后在System32路径下释放病毒程序guangd.exe并添加以下注册表启动项实现自启动
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"DsNiu" = C:\WINDOWS\system32\guangd.exe
然后病毒会遍历磁盘,把自己命名为guangd.exe拷贝到所有的磁盘中,添加autorun.inf得用户双击打开磁盘时同时运行病毒
然后把System32的释放的病毒程序运行起来,最后病毒会在TEMP文件夹中释放自删除文件~DsNiu!.bat把自己删除。
下载操作:
病毒会启动两个svchost.exe进程,然后病毒会用自身内存映像覆盖这两个svchost.exe进程的内存空间,使用户认为该进程是正常的系统进程,同时这两个进程会互相进行保护,如果这两个进程中的任意一个进程被用户结束,则另一个进程会重新运行病毒程序,使得用户无法手动结束该进程。
病毒会每隔60秒从http://bibo.xxxx.org/gdxiazai.txt网址下载病毒程序并运行。
安全建议:
1 安装正版杀毒软件、个人防火墙,并及时升级,每天至少升级三次。
2 打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能.
