基本介紹
基本信息,傳播過程,
基本信息
Worm.Downloader.cr.34304(類AV終結者)分析
病毒全名 Worm.Downloader.cr.34304
而且病毒會通過映像劫持的方法,使得各安全軟體無法使用。纂改檔案隱藏功能。修改了瀏覽器主頁,在打開瀏覽器時會自行下
載病毒,並且彈出廣告等行為。
傳播過程
1.病毒運行後,產生以下病毒檔案
%local settings%\temporary Internet Files\Content.IE5\EC5UKR17\tj[1].htm
%local settings%\temporary Internet Files\Content.IE5\GR8I0NOH\down[1].txt
%local settings%\temporary Internet Files\Content.IE5\YF9D3U1Z\tempA[1].exe
%Program Files%\Internet Explorer\PLUGINS\SysWin64.Jmp
%Program Files%\Internet Explorer\PLUGINS\WinSys64.Sys
在%windows%\Fonts下添加許多後綴為"fon"的檔案
在%windows%\system32下添加許多後綴為"dll"和"exe"的病毒檔案
在%temp%目錄下同樣產生病毒檔案
2.在各盤目錄下,會生成AUTO病毒,分別是niu.exe和autorun.inf。其中,autorun.inf所指向的病毒是niu.exe,當用戶左鍵雙擊
進入該盤時,病毒隨之觸發。
3.病毒運行後,任務管理器被禁止不可使用(如圖)。
4.病毒運行後,隱藏檔案的功能被纂改,並且把文字內容也修改。(如圖)
那句話的全部是“禽獸尚且有半點憐憫之心,而我一點沒有,所以我不是禽獸。”
哪個病毒劫持的安全軟體比它多。(如圖)
6.病毒把主頁修改為www.baidu.com
7.會監視視窗,當在瀏覽器輸入與"安全"或"病毒"相關的網站,病毒會把瀏覽器立即關閉。
8.打開瀏覽器會彈廣告。
9.病毒會從以下地址下載更多木馬
http://w.******.com/tempA.exe
http://w.******.com/tempB.exe
http://w.******.com/tempC.exe
http://w.******.com/tempD.exe
http://w.******.com/tempE.exe
http://w.******.com/tempF.exe
http://w.******.com/tempG.exe
http://w.******.com/tempH.exe
http://w.******.com/tempI.exe
http://w.******.com/tempJ.exe
http://w.******.com/tempK.exe
http://w.******.com/tempL.exe
http://w.******.com/tempM.exe
http://w.******.com/tempN.exe
http://w.******.com/tempO.exe
http://w.******.com/tempP.exe
http://w.******.com/tempQ.exe
http://w.******.com/tempR.exe
http://w.******.com/tempS.exe
http://w.******.com/tempT.exe
http://w.******.com/tempU.exe
http://w.******.com/tempV.exe
http://w.******.com/tempW.exe
10.通過以下文本里的檔案,對以下關鍵字進行監測,檢測後嘗試關閉相關網頁。
http://w.******.com/guanjian.txt
但是這裡作者卻把兩個殺軟的名字弄錯,(不知是不是故意放卡巴和江民一馬)
------------------------
木馬
病毒
360
卡吧(錯,應為"卡巴")
金山
江名(錯,,應為"江民")
------------------------
病毒還會利用www.******.com/pu/tj.asp,進行感染量統計。(這是不是病毒商業化運營的統計系統呢?很有可能是的。)