Win32.Troj.PcGhost.g

電腦幽靈 影響系統：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒體運行後，會釋放這兩個檔案

C:\\Program Files\\Common Files\\xp4update.exe

%temp%\\QQAdHelper1.exe

釋放出來的檔案還會釋放其它的病毒體：

xp4update.exe-＞

C:\\Program Files\\Common Files\\xpsp4res.dll (Win32.Troj.PcGhost.g.57344)

C:\\Program Files\\Common Files\\xpsp4tdi.sys (Win32.Troj.PcGhost.c.5248)

C:\\Program Files\\Common Files\\xpsp4reg.sys (Win32.Troj.PcGhost.g.6784)

並創建一個捷徑

C:\\Documents and Settings\\All Users\\開始選單\\程式\\啟動\\Windows Update SP4.lnk

指向C:\Program Files\Common Files\xp4update.exe，使病毒能隨Windows啟動.

QQAdHelper1.exe-＞

%windows%\\comreg.dll (Win32.Troj.PcGhost.f.57344)

%CurDirector%\\Inject.exe (Win32.Troj.PcGhost.g.4608)

病毒通過驅動改寫SSDT表（系統服務描述表），使下面4個函式指向xpsp4reg.sys，實現Ring0級的hook

NtCreateKey

NtOpenKey

NtQueryDirectoryFile

NtSetValueKey

該HOOK會檢測運行這4個函式時的所有參數，並作出相應的返回結果.

檢查以下3個函式

NtSetValueKey

NtCreateKey

NtSetValueKey

附帶的參數是否包含以下字元

isdrv

filemon

darkspy

361anreg

superkill

currentcontrolset\\control\\safeboot

若有的話則返回失敗，系統表現無法運行一些安全軟體（如icesword,filemon,darkspy等）

NtQueryDirectoryFile

檢查附帶參數是否包含以下字元

XP4UPDATE.EXE

XPSP4RES.DLL

WINDOWS UPDATE SP4.LNK

GOOGLESVC.EXE

有則返回失敗，系統表現是這些檔案名稱的檔案無法被看到.

病毒檔案xpsp4tdi.sys負責保護以下設備不受破壞

\Device\xpsp4tdi

\DosDevices\xpsp4tdi

病毒會建一個IE進程，並使用Rootkit隱藏該進程，然後把

C:\\Program Files\\Common Files\\xpsp4res.dll注入到此IE進程中運行，

並讀取網址http://*****.**./**/ini/rules.ini的配置信息，如下：

------------------------------------------

[Version]

Item0=20070406

Item1=20070414

Item2=20070412

[File]

Item0=http://p.*******.net/sj/msnbot.exe

Item1=http://p.*******.net/sj/30000.exe

Item2=http://p.*******.net/sj/boolan35.exe

[Size]

Item0=107522

Item1=109186

Item2=399080

下載安裝並安裝上面的Item程式，30000.exe是病毒體的更新，另外兩個是廣告安裝程式，

並把安裝的結果通過post的方式傳送到http://c.*******.net上，

使得用戶的計算機不斷地被安裝上廣告程式.