taong

危险等级：★★★
病毒名称：Win32.Downloader.s
入库版本：20.22.02
类型：感染型病毒

感染的操作系统：Windows所有版本系统

威胁情况：

传播级别：低

全球化传播态势：低

清除难度：困难

破坏力：低

破坏手段：下载文件并运行

    被感染的正常文件（暂时没有截获感染源样本），感染代码进行下载并运行，但不感染其它文件。

感染方法：

    病毒感染文件时，在被感染文件最后新增一个大小为0x1FE大小的节并将病毒体写入。

    病毒体将被感染文件的原入口点保存在最后一个节的开始处，并将PE结构中的入口点修改为指向病毒体（最后一个节）的偏移0xC1处。

感染的代码：

    1、定位Kernel32.dll基址

    病毒在程序入口处获取堆栈顶的值（位于Kernel32.dll内存空间），然后利用这个值按页对齐大小向前搜索，通过搜索PE文件标志“MZ”的方式获取Kernel32.dll的基址。

    2、获取API

    病毒获取Kernel32.dll基址后，从基址开始搜索字符串“GetProcAddress”，以此定位该函数的导出地址。获取GetProcAddress函数地址后，病毒调用该函数获取如下函数地址并保存：ExitProcess、CreateThread、WinExec、LoadLibraryA

    3、启动下载线程：

    病毒调用CreateThread启动下载线程，下载线程的地址在病毒体偏移0x1A8处。

    4、下载线程：

    病毒调用LoadLibraryA加载Urlmon并获取URLDownloadToFileA函数的地址，然后调用URLDownloadToFileA尝试下载"http://usd.88xxx.net/down/n.exe"为"C:\Program Files\svchost.exe"，如果下载成功，病毒调用WinExec执行该文件。

    5、返回入口点：

    启动下载线程后，病毒通过保存在病毒体偏移0处的原程序入口点地址返回正常执行文件。