名称:幽灵
行为追踪:“幽灵”运行后可将自己拷贝到%ProgramFiles%Common Files23OSA.EXE中,并释放23OFFICE.dll、23MsOffTDI.sys、23AnRegProt.sys等3个病毒文件,之后添加一个快捷方式到C:Documents and SettingsAll Users开始菜单程序启动Microsoft Office 23.lnk,使病毒能随Windows启动。
三大危害:
1. 破坏系统安全模式
删除安全模式的注册表键值,使用户无法进入安全模式,即使强行进入,也会导致系统蓝屏崩溃
2. 阻止IceSwrod启动
阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod无法启动
3. 下载大量广告程序与病毒文件
开启一个IE进程,读取网址http://t1.*******.net/jw/ini/rules.ini上的内容,并从该址下载广告程序和病毒文件。
专家建议:
1.网络下载并安装某些小软件的过程中,一定要仔细阅读每一步的安装说明,以防流氓软件捆绑传播
2.不登陆一些不知名的小网站,以免流氓软件利用网页进行传播
3.安装正版杀毒软件或流氓软件专杀工具,并进行实时升级
查杀方法:
金山毒霸全新的数据流杀毒技术与文件粉碎技术,让任何流氓软件都无处可逃!升级金山毒霸系统清理专家及毒霸2007杀毒套装到2006.12.04版本即可查杀。
数据流杀毒技术
基于传统的静态磁盘文件和狭义匹配技术,更进一步从网络和数据流入手,极大地提高了查杀木马及其变种的能力。
文件粉碎技术
采取绕过系统调用,直接读写文件系统的方式,直接清除磁盘文件。这样,即使恶意软件采用Rootkits技术劫持系统底层调用,也无法阻止系统清理专家直接删除它们的文件。这个功能强大之处在于,Windows系统下的所有文件,无论是正在运行的程序,正在被使用的DLL,正在被打开的文件,还是采取自我保护的驱动,全部都可以被轻易地删除。所以,使用这个新技术,用户无需进入安全模式,即可干净彻底的清除恶意软件。
“幽灵”分析报告:
Win32.Troj.PcGhost.a
中文名:“幽灵”
这是一个能删除系统安全模式的恶意病毒,它还能通过驱动程序的HOOK隐藏自己,并下载广告和病毒程序,使用户的计算机受到更多广告程序的干扰。
1.拷贝与释放文件 病毒能把自己拷贝到这里: %ProgramFiles%Common Files23OSA.EXE
并释放3个文件
%ProgramFiles%Common Files23OFFICE.dll (Win32.Troj.PcGhost.a.40960)
%ProgramFiles%Common Files23MsOffTDI.sys (Win32.Troj.PcGhost.a.5120)
%ProgramFiles%Common Files23AnRegProt.sys (Win32.Troj.PcGhost.a.6016)
之后添加一个快捷方式
C:Documents and SettingsAll Users开始菜单程序启动Microsoft Office 23.lnk
该LNK指向%ProgramFiles%Common Files23OSA.EXE,使病毒能随Windows启动.
2.驱动级和用户级的Rootkit
病毒会同时使用驱动级(Ring0)与用户级(Ring3)的Rootkit技术隐藏自己的信息,包括程序文件,进程等,使用户无法察觉病毒的存在。
23AnRegProt.sys (Win32.Troj.PcGhost.a.6016)
这个驱动文件负责进行函数欺骗的,使特定的文件不显示:
该驱动HOOK了这几个函数:
ZwOpenKey
ZwSetValueKey
ZwCreateKey
ZwQueryDirectoryFile
一但以上函数返回值有以下字符时,就返回失败,使系统误以为不存在这些文件
230SA.EXE
23OFFICE.DLL
MICROSOFT OFFICE 23.LNK
这样使得在注册表,文件管理器等工具都无法发现病毒文件.
23MsOffTDI.sys (Win32.Troj.PcGhost.a.5120)
这个文件负责锁定23AnRegProt.sys与自己,防止被用户或其它软件删除。
3.破坏安全模式
病毒会把安全模式的注册表键值删除,键值如下:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSafeBoot
病毒把该键值下面全部项都删除,使用户无法进入安全模式,若用户强行进入安全模式的话会导致系统蓝屏崩溃。
4.干扰IceSword运行
病毒会阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod无法启动。
5.下载广告
病毒会开启一个IE进程(进程使用Rootkit技术隐藏),并读取一网址上的内容,
该网址为http://t1.*******.net/jw/ini/rules.ini
里面的内容为:
----------------------------------------------
[Version]
Item0=20061201
Item1=20061202
Item2=20061201
[File]
Item0=http://61.182.**.**/xzq/30009.exe
Item1=http://61.182.**.**/new/Setup.exe
Item2=http://61.182.**.**/new/setie.exe
[Size]
Item0=62243
Item1=263531
Item2=227446
并下载里面的文件到C:Documents and SettingsAll UsersApplication DataADSL之后运行这些文件,其中30009.exe是病毒文件,病毒名为Win32.Troj.Dropper.rk.62243。
此病毒文件能重新释放Win32.Troj.PcGhost.a病毒,据INI文件分析,该病毒还可能出现新的变种,病毒作者很有可能会在近期放出不同的变种。而Setup.exe与setie.exe则是广告程序,它使用户的计算机受到广告程序的干扰,严重影响了用户的工作。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
