基本介紹
- 中文名:反病毒殺手木馬下載器
- 外文名:Trojan.DL.Win32.AntiAV.a)
- 依賴系統: WINNT/2000/XP/2003
- 程度:危險
基本信息,技術細節,
基本信息
“反病毒殺手木馬下載器(Trojan.DL.Win32.AntiAV.a)”病毒:警惕程度★★★,該病毒下載木馬病毒,通過網路傳播。依賴系統: WINNT/2000/XP/2003。
技術細節
(1)執行緒1:以10毫秒為周期,調用FindWindow查找“WINDOW:主動防禦 信息”的視窗,調用SendMessage傳送WM_LBUTTONDOWN和WM_LBUTTONUP訊息,模擬滑鼠左鍵點擊“允許”按鍵,來通過防毒軟體的主動防禦。
(2)執行緒2:以5毫秒為周期,調用FindWindow查找"AVP.AlertDialog","AVP.Product_Notification","註冊表警告","###McAlertWindow###","McAfee Personal Firewall Plus 警報","瑞星註冊表監控提示"的"NotifyWnd"-報警的按鍵類視窗;調用SendMessage傳送WM_CLOSE訊息關閉這些病毒預警提示視窗,實現使各廠家軟體病毒預警模組失效的功能。
2.病毒會將自身複製到%WINDIR%\inf目錄下,分析當時存儲的檔案名稱為MsnSvc64.exe(病毒複製到系統的的檔案名稱和病毒原始檔案名稱相同),並將資源中的動態庫以檔案名稱為usbctrl02.inf釋放到同目錄下,將這兩個檔案的屬性設定為系統和隱藏,設定訊息鉤子將該動態庫載入到系統進程中,該動態庫主要功能為輔助主檔案實現自身的載入、註冊表項的修改和下載可疑檔案並運行等功能。
3.病毒會向註冊表項
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options \ctfmon.exe
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe
中加入Debugger子鍵其鍵值為“%WINDIR%\inf \MsnSvc64.exe”。(指定的檔案名稱為複製到系統中的病毒檔案名稱)被修改後,如果運行指定程式ctfmon.exe,系統會自動將病毒檔案運行起來。
4.病毒會寫如下註冊表項,實現病毒主檔案開機自啟動
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNService
DNS Service = (IMAGEPATH)%WINDOWS%\INF\ MSNSVC64.EXE