Win32.Troj.Agent.um.401408
病毒名称(中文):
广告弹射器401408
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
广告软件
病毒长度:
401408
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个广告木马程序变种。它会阻止安全软件向用户报告系统异常,并自动登录木马种植者指定的网页,为它们“贡献”流量。此木马还具有自动更新功能。
(1)生成文件
%windir%\mwinsys.ini
%sys32dir%\AlxRes070826.exe
%sys32dir%\inf\scrsys070826.scr
%sys32dir%\inf\scrsys16_070826.dll
%sys32dir%\winsys16_070826.dll
%sys32dir%\winsys32_070826.dll
D:\myplayer.com
通过c:\myDelm.bat删除自身
(2)添加或修改注册表项
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MainCheck_Associations"no"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\runUserinit"rundll32.exe%sys32dir%\winsys16_070826.dllstart"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CommandProcessorAutoRun"""d:\myplayer.com"
(3)winsys16_070826.dll通过注入到rundll32.exe进程中,每隔100ms查找以下包含以下要害字的窗口是否存在,如存在则发送消息关闭
卡巴斯基
瑞星
kv
kill
查毒
杀毒
360safe安全卫士
专杀
木马
毒霸
江民
卡卡
雅虎助手
Windows任务治理器
SymantectAntiVirus
nod32
mcafee
kaspersky
duba
rising
jiangmin
金山反间谍
...
并读取mwinsys.ini配置文件,判定其中的[exe]、[dll_hitpop]等Section下路径的文件是否存在,如不存在则开始CopyFile,
另外,还会查找并修改注册表userinit,不存在则会再次生成
(4)winsys32_070826.dll通过注入iexplorer.exse进程,查找以下键值判定系统是否存在IE保护工具,并将自身写入白名单
Software\Baidu\BaiduBar\WhiteList
Software\Yahoo\Assistant\Assist\adwurl
Software\Microsoft\InternetExplorer\NewWindows\Allow
Software\Microsoft\ProtectedStorageSystemProvider
\Software\Microsoft\InternetExplorer\NewWindows\Allow
Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\DomainsSoftware\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\EscDomains\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\EscDomainsSoftware\Google\NavClient\1.1\whitelist
查找瑞星和卡巴斯基病毒警告窗口,发现则发送消息WM_CLOSE关闭窗口或自动点击窗口中的"是"按钮来逃避杀毒软件查杀
安全警告窗口
AVP.TrafficMonConnectionTerm
...
下载list.htm,通过点击指定网站来增加访问率
http://dhz.8**810.org/dhz1115/list.htm
下载cando.txt,以更新病毒程序
211.1*5.*0.2*8:8080
尝试将自身注册至BrowserHelperObjects
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{F1FABE79-25FC-46de-8C5A-2C6DB9D64333}
尝试在进程中查找并使用ntsd命令关闭以下进程
RUNIEP.EXE(瑞星卡卡上网安全助手-IE防漏墙)
KRegEx.exe
KVSXP.kxp
360tray.exe
查找雅虎和IE保护选项的窗口,并按提示做出相对的回应,如自动去掉拦截提示
(5)病毒可能会修改日期和源QQ传播,但没有实现
