“蠕虫下载器变种R”病毒技术细节

这是一个蠕虫病毒,采用FSG2.0->bart/xt进行保护

病毒运行后,先将四串加密后的字符串进行解密,得到如下的网址:http://218.61.17.233/haohao.exe,http://218.61.17.233/wei.exe

http://218.61.17.233/weiwei.exe,http://218.61.17.233/11.exe.然后利用GetSystemDirectory得到SYSTEM32目录.病毒遍历当前系统进程,查找"360tray.exe","360safe.exe","runiep.exe","avp.exe"一旦发现这四个进程存在,则利用OpenProcess得到该进程的句柄,再使用TerminateProcess将进程关闭.

病毒会利用SetLocalTime将系统时间调整为2005年,目前这个方法是对付卡巴最通用的招数.然后再创建一个线程,该线程的作用就是使用FindWindow查找"卡巴"和"病毒"这两个窗口,一旦发现则使用PostMessage发送WM_Close消息关闭窗口.

病毒将自身复制到SYSTEM32目录中,并更名为"chostsb.exe",并使用SetFileAttributesA将该文件的属性改为隐藏和系统.接下来,病毒使用InternetGetConnectedState检测当前系统的网络状态,并创建一个线程.该线程的作用就是修改注册表内'SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions子键下的360rpt.exe,360Safe.exe,adam.exe,AgentSvr.exe,AppSvc32.exe,

autoruns.exe,avgrssvc.exe,AvMonitor.exe,avp.com,CCenter.exe,

ccSvcHs,.exe,FileDsty.exe,FTCleanerShell.exe,HijackThis.exe,IceSword.exe,

iparmo.exe,Iparmor.exe,isPwdSvc.exe,kabaload.exe,KaScrScn.S,R,KASMain.exe,

KASTask.exe,KAV32.exe,KAVDX.exe,KAVPFW.exe,KAVSetup.exe,

KAVStart.exe,KISLnchr.exe,MailMon.exe,KMFilter.exe,KPFW32.exe,KPFW32X.exe,

KPFWSvc.exe,KRegEx.exe,KRepair.COM,KsLoader.exe,KVCenter.kxp,KvDetect.exe,

KvfwMcl.exe,KVMonXP.kxp,KVMonXP_1.kxp,kvol.exe,kvolself.exe,KvReport.kxp,

KVSrvXP.exe,KVStub.kxp,kvupload.exe,kvwsc.exe,KvXP.kxp,KWatch.exe,

KWatch9x.exe,KWatchX.exe,loaddll.exe,MagicSet.exe,mcconsol.exe,mmqczj.exe,

mmsk.exe,NAVSetup.exe,nod32krn.exe,nod32kui.exe,PFW.exe,PFWLiveUpdate.exe,