“反病毒终结者变种N”病毒技术细节

taong

“反病毒终结者变种N”病毒技术细节
危险等级：★★★
病毒名称：Trojan.Win32.AntiAV.n
截获时间：2007-12-01
入库版本：20.20.51
类型：病毒
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低
清除难度：困难
破坏力：低
   1、病毒运行后，会在system32目录下释放一个OCX文件，文件名随机。
    病毒生成文件名的方法：用GetLocalTime得到当前系统时间，以月份跟得到的秒数为文件名，扩展名为.OCX。
    我们在分析的时候得到的是12月7秒，文件名为：127.OCX。
    2、利用rundll32.exe来加载自己释放的文件。并把rundll32.exe %system32%127.ocx加入到启动项。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
Load = rundll32.exe %sysetm32%127.ocx
    3、等1.5秒后把自己删除。
   
    病毒自删除方法比较特别，先用DeleteFileA去检查病毒本身是否已被删除，然后用MoetFile把自己移动到回收站，在用MoveFile把回收站中的病毒文件加入到重启后删除列表中。
    4、OCX文件加载成功后，病毒利用全局钩子，在每一个进程中插入一个127.ocx。
    （１）HOOK个每个进程中的API来隐藏自己
    HOOK的API有
RegOpenKeyExA
CreateFileA
CreateFileW
RegEnumValueA
RegEnumValueW
    从HOOK的API可以看出，用户是无法在正常方式下，查看到病毒的文件，和在注册表中加入的内容。
    （２）对AVP杀软的情况，病毒使用的手法：
    当检查到系统中是否AVP的进程时，把当前系统的时间修改为:现在的时间减去10年
    如：现在是2007 被病毒改后，就会是1997年，这样会使AVP失效。
    （３）对于一些反流氓软件的情况，病毒使用的手法：
    当有程序要运行时，病毒会检查当前运行的文件名含有以下列表中的文件时，会把当前运行文件的里程结束，并且把文件移动到Windwos的TEMP目录下改名__.%s.tmp。
    病毒会遍历指定的目录下去查找下面文件，当查找到文件后，会把文件移动到TEMP目录下改名为__%s.tmp.
    病毒查找的文件有：
mmskskin.dll
KKClean.dll
VirUnk.def
ntiActi.dll
Rsaupd.exe
Iereset.dll
KASearch.DLL
KAVBootC.sys
Ras. exe
iehelp.exe
trojandetector.exe
KAConfig.DLL
KAVPassp.DLL
hsfw.dll
ollydbg.ini
Libclsid.dat
KNetWch.SYS
CleanHis.dll
WoptiClean.sys
kakalib.def
libdll.dat
kkinst.ini
wopticlean
360safe
    (4)对于其它杀软件的处理
    遍历文件时，同时获得文件的版本信息，当发现下列住处时，会把文件删除
Kingsoft Antivirus
Kingsoft Antispyware
TrojanDetector
Micropoint
Kingsoft
Duba
    4、修改文件的访问根权。
    病毒利用cacls.exe Filename /T /E /C /P everyone:N的方式，把磁盘上文件设置为共享，让所有人可以使用文件。