自动运行木马变种YTK”病毒技术细节
该程序运行后执行如下操作:
1.获取系统目录,判断是否存在%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.bak和NewTemp.DLL,若存在则删除该文件;
2. 拷贝自身到%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.bak,并设置文件属性为HIDDEN和SYSTEM实现文件隐藏;
3.查找自身资源DATAINFO并释放到%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.DLL;
4. 判断系统版本,若系统为非NT系统,则创建wininit.ini实现自启动;
5. 查找窗口类为ListBox、窗口名为1616116或1818118的窗口,若失败则创建一个窗口类为ListBox、窗口名为1818118的窗口来接收消息,若找到则退出,防止实例重复运行;
6. 加载%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.DLL,获取导出函数MsgHookOn并调用,之后进入消息循环,接收系统消息;
7. 消息循环退出时调用导出函数MsgHookOff设置消息钩子,监视新添加的设备;之后设置如下注册表项实现自启动:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{0EA66AD2-CF26-2E23-532B-B292E22F3266}
HKLM\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}
InProcServer32
Apartment
ThreadingModel
释放的动态库加载时执行如下操作:
1.获取模块名,打开文件本身,在文件末尾读取四字节,与0x35526133异或,取负,然后根据这个偏移量读取文末尾的数据;
2.查找窗口类为ListBox、窗口名为1616116的窗口,若找到则退出,以此来防止程序重复运行;
3.创建线程,执行如下操作:
创建一窗口类为ListBox、窗口名为1616116的窗口接受系统消息,设置该窗口的窗口回调函数,在回调函数中判断消息类型:
若为WM_DEVICECHANGE,则拷贝自身到新添加设备根目录下并命名为PegeFile.PIF,之后在设备根目录下创建autorun.inf,写入如下内容,实现传播:
[autorun]
open=PegeFile.pif
shellexecute=PegeFile.pif
shell\Auto\command=PegeFile.pif
shell=Auto
若为WM_DESTROY,则销毁该窗口;否则,调用默认的消息处理函数。
查找窗口类为ListBox,窗口名为1818118的窗口,并向该窗口发送WM_QUIT消息,关闭该窗口;
设置定时器,每隔1秒执行如下操作:
a.查旬注册表项HKLM\Software\SetVer\ver下的键值,判断指定程序是否已下载;
b.若键值未设置,则尝试从网络上下载指定程序到临时目录并执行;
c.若成功下载执行则设置注册表HKLM\Software\SetVer\ver下的键值,标记已下载;
进入消息循环,接受系统消息.导出函数MsgHookOn设置系统消息钩子,用来获取添加设备的通知消息;导出函数MsgHookOff卸载加载模块的窗口消息钩子;
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到19.45.31版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
