基本介紹
- 中文名:shadowsafe.sys概述
- 感染對象:Windows 2000/Windows XP
- 傳播途徑:網頁掛馬、檔案捆綁、下載器下載
- 解決辦法:刪除檔案
感染對象,病毒分析,解決辦法,變數聲明,
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬、檔案捆綁、下載器下載
病毒分析
1.病毒運行後遍歷進程,查找並結束進程dnf.exe、dnfchina.exe和qqlogin.exe。
2.釋放配置檔案"%ProgramFiles%\zydxc.dat",動態庫檔案"%ProgramFiles%\dnf\zydxc0124.dll"以及驅動檔案%ProgramFiles%\dnf\ shadowsafe.sys。
3.調用rundll32.exe,以Start為參數啟動zydxc0124.dll。
4.zydxc0124.dll中,創建執行緒,讀取並解密配置檔案。
5.創建名稱為shadowsafe的服務,恢復SSDT。
6.創建執行緒,查找圖片傳真查看器、Microsoft Photo editor、Microsoft office Prcture Manger、ACDSee、Adobe、XnView、Picasa等圖片查看編輯視窗,創建截圖,保存在C糟根目錄,設定為系統隱藏屬性。
7.創建執行緒,在dnfchina.exe申請空間,將%ProgramFiles%\dnf\zydxc0124.dll寫入,創建遠程執行緒。
8.獲取遊戲安裝目,讀取遊戲登入信息;連線網路,將登入信息和遊戲賬號、密保截圖傳送到指定地址。
病毒創建檔案:
%ProgramFiles%\zydxc.dat
%ProgramFiles%\dnf\zydxc0124.dll
%ProgramFiles%\dnf\ shadowsafe.sys。
病毒創建註冊:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit %SystemRoot%\system32\userinit.exe,rundll32.exe %ProgramFiles%\dnf\zydxc0124.dll Start
解決辦法
1、手動刪除以下檔案
%ProgramFiles%\zydxc.dat
%ProgramFiles%\dnf\zydxc0124.dll
%ProgramFiles%\dnf\ shadowsafe.sys
2、手動刪除以下註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit %SystemRoot%\system32\userinit.exe,rundll32.exe %ProgramFiles%\dnf\zydxc0124.dll Start
變數聲明
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時資料夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程式默認安裝目錄,通常為:“C:\ProgramFiles”
