Win32.Troj.PcGhost.g

病毒名称(中文):

电脑幽灵

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

107691

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是"电脑幽灵"的一个新变种,它能下载并安装广告程序,

并能通过驱动级的HOOK隐藏自己,使用户难以发现.

1:释放文件:

病毒体运行后,会释放这两个文件

C:\\ProgramFiles\\CommonFiles\\xp4update.exe

%temp%\\QQAdHelper1.exe

释放出来的文件还会释放其它的病毒体:

xp4update.exe->

C:\\ProgramFiles\\CommonFiles\\xpsp4res.dll(Win32.Troj.PcGhost.g.57344)

C:\\ProgramFiles\\CommonFiles\\xpsp4tdi.sys(Win32.Troj.PcGhost.c.5248)

C:\\ProgramFiles\\CommonFiles\\xpsp4reg.sys(Win32.Troj.PcGhost.g.6784)

并创建一个快捷方式

C:\\DocumentsandSettings\\AllUsers\\开始菜单\\程序\\启动\\WindowsUpdateSP4.lnk

指向C:\ProgramFiles\CommonFiles\xp4update.exe,使病毒能随Windows启动.

QQAdHelper1.exe->

%windows%\\comreg.dll(Win32.Troj.PcGhost.f.57344)

%CurDirector%\\Inject.exe(Win32.Troj.PcGhost.g.4608)

2:改写SSDT表

病毒通过驱动改写SSDT表(系统服务描述表),使下面4个函数指向xpsp4reg.sys,实现Ring0级的hook

NtCreateKey

NtOpenKey

NtQueryDirectoryFile

NtSetValueKey

该HOOK会检测运行这4个函数时的所有参数,并作出相应的返回结果.

检查以下3个函数

NtSetValueKey

NtCreateKey

NtSetValueKey

附带的参数是否包含以下字符

isdrv

filemon

darkspy

361anreg

superkill

currentcontrolset\\control\\safeboot

若有的话则返回失败,系统表现无法运行一些安全软件(如icesword,filemon,darkspy等)

NtQueryDirectoryFile

检查附带参数是否包含以下字符

XP4UPDATE.EXE

XPSP4RES.DLL

WINDOWSUPDATESP4.LNK

GOOGLESVC.EXE

有则返回失败,系统表现是这些文件名的文件无法被看到.

3:保护文件

病毒文件xpsp4tdi.sys负责保护以下设备不受破坏

\Device\xpsp4tdi

\DosDevices\xpsp4tdi

4:注入IE下载广告

病毒会建一个IE进程,并使用Rootkit隐藏该进程,然后把

C:\\ProgramFiles\\CommonFiles\\xpsp4res.dll注入到此IE进程中运行,

并读取网址http://*****.**.net.cn/**/ini/rules.ini的配置信息,如下:

------------------------------------------

[Version]

Item0=20070406

Item1=20070414

Item2=20070412

[File]

Item0=http://p.*******.net/sj/msnbot.exe

Item1=http://p.*******.net/sj/30000.exe

Item2=http://p.*******.net/sj/boolan35.exe

[Size]

Item0=107522

Item1=109186

Item2=399080

下载安装并安装上面的Item程序,30000.exe是病毒体的更新,另外两个是广告安装程序,

并把安装的结果通过post的方式发送到http://c.*******.net上,

使得用户的计算机不断地被安装上广告程序.