咨询热线:400-000-3720 中文 | English
您现在的位置: 安腾软件 >> ITEN博客 >> 正文

AUTO病毒冒充系统文件 专门关闭卡巴斯基

Win32.Troj.AutoRunT.ad.15598是一个下载者病毒。它会查找并关闭安全软件的提示窗口。如果用户电脑中安装有杀毒软件卡巴斯基,病毒会修改系统日期,使卡巴失效。然后,它会下载病毒文件,并在系统上的每个磁盘下生成 autorun.inf 文件,扩散自己的传播范围。

病毒名称(中文):AUTO病毒15598

威胁级别:★☆☆☆☆

病毒类型:木马下载器病毒

长度:15598

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个下载者病毒。它会查找并关闭安全软件的提示窗口。如果用户电脑中安装有杀毒软件卡巴斯基,病毒会修改系统日期,使卡巴失效。

然后,它会下载病毒文件,并在系统上的每个磁盘下生成 autorun.inf 文件,扩散自己的传播范围。

这是一个下载者病毒,通过创建系统服务实现开机自启动。从多个网址上下载病毒文件,并保存在系统上执行。

通过创建线程查找安全软件的提示窗口,并模拟用户鼠标操作,如发现卡巴文件则使用 cmd 的 date 命令修改系统日期。

在系统上的每个磁盘下生成 autorun.inf 文件,并指向病毒文件(把 systemroot\system32\Dser.exe 复制一份至磁盘根目录下)。

病毒运行后释放以下病毒文件:

%systemroot%\system32\Dser.exe (文件属性为“隐藏”和“系统”)

判断系统上是否存在 %systemroot%\system32\drivers\klif.sys 文件,如存在则使用 cmd 带参数设置当前系统时间为 1981-01-12。

病毒释放文件后在 system32 文件夹下创建批处理文件,并创建进程运行,删除自身:


:try
del "病毒源文件(释放源)"
if exist "病毒源文件(释放源)" goto try
del %0


创建线程查找窗口标题名为“IE 执行保护”、“IE执行保护”、“瑞星卡卡上网安全助手-IE防漏墙”窗口。如发现,则获取其窗口的“允许执行”按钮的窗口位置,并向其发送鼠标消息(模拟鼠标按下)。

后台下载病毒作者指定的病毒网址,下载保存在系统上并执行:


http:/ /www.8**ao***mm.bj.cn/123.exe
http:/ /www.8**ao***mm.bj.cn/124.exe
http:/ /www.8**ao***mm.bj.cn/125.exe
http:/ /www.8**ao***mm.bj.cn/126.exe
http:/ /www.8**ao***mm.bj.cn/127.exe
http:/ /www.8**ao***mm.bj.cn/128.exe


下载后的病毒文件全部保存在 system32 文件夹下。在系统上的每个磁盘下创建 autorun.inf 文件,并把病毒文件复制一份至磁盘根目录下。autorun.inf 文件指向病毒文件 Dser.exe。

病毒通过创建注册表系统服务实现开机自启动:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
WinServerDown
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
WinServerDown ImagePath "%systemroot%
\system32\Dser.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
WinServerDown DisplayName "AntiVirus"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
WinServerDown ObjectName "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
WinServerDown Description "网络安全向导"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\
0000 Service "WinServerDown"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\
0000 Legacy dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\
0000 Class "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN\
0000 DeviceDesc "AntiVirus"