“反病毒终结者变种N”病毒技术细节

1、病毒运行后，会在system32目录下释放一个OCX文件，文件名随机。

病毒生成文件名的方法：用GetLocalTime得到当前系统时间，以月份跟得到的秒数为文件名，扩展名为.OCX。

我们在分析的时候得到的是12月7秒，文件名为：127.OCX。

2、利用rundll32.exe来加载自己释放的文件。并把rundll32.exesystem327.ocx加入到启动项。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

Load=rundll32.exesysetm327.ocx

3、等1.5秒后把自己删除。

病毒自删除方法比较特别，先用DeleteFileA去检查病毒本身是否已被删除，然后用MoetFile把自己移动到回收站，在用MoveFile把回收站中的病毒文件加入到重启后删除列表中。

4、OCX文件加载成功后，病毒利用全局钩子，在每一个进程中插入一个127.ocx。

（１）HOOK个每个进程中的API来隐藏自己

HOOK的API有

RegOpenKeyExA

CreateFileA

CreateFileW

RegEnumValueA

RegEnumValueW

从HOOK的API可以看出，用户是无法在正常方式下，查看到病毒的文件，和在注册表中加入的内容。

（２）对AVP杀软的情况，病毒使用的手法：

当检查到系统中是否AVP的进程时，把当前系统的时间修改为:现在的时间减去10年

如：现在是2007被病毒改后，就会是1997年，这样会使AVP失效。

（３）对于一些反流氓软件的情况，病毒使用的手法：

当有程序要运行时，病毒会检查当前运行的文件名含有以下列表中的文件时，会把当前运行文件的里程结束，并且把文件移动到Windwos的TEMP目录下改名__.s.tmp。

病毒会遍历指定的目录下去查找下面文件，当查找到文件后，会把文件移动到TEMP目录下改名为__s.tmp.

病毒查找的文件有：

mmskskin.dll

KKClean.dll

VirUnk.def

ntiActi.dll

Rsaupd.exe

Iereset.dll

KASearch.DLL

KAVBootC.sys

Ras.exe

iehelp.exe

trojandetector.exe

KAConfig.DLL

KAVPassp.DLL

hsfw.dll

ollydbg.ini

Libclsid.dat

KNetWch.SYS

CleanHis.dll

WoptiClean.sys

kakalib.def

libdll.dat

kkinst.ini

wopticlean

360safe

(4)对于其它杀软件的处理

遍历文件时，同时获得文件的版本信息，当发现下列住处时，会把文件删除

KingsoftAntivirus

KingsoftAntispyware

TrojanDetector

Micropoint

Kingsoft

Duba

4、修改文件的访问根权。

病毒利用cacls.exeFilename/T/E/C/Peveryone:N的方式，把磁盘上文件设置为共享，让所有人可以使用文件。

安全建议：

1安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

2使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3不浏览不良网站，不随意下载安装可疑插件。

4不接收QQ、MSN、Emial等传来的可疑文件。

5上网时打开杀毒软件实时监控功能。

6把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到20.20.30版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。