专家阐述:AV终结者病毒最新变种分析报告
发布时间:2021-09-07 18:37:42 所属栏目:安全 来源:互联网
导读:近日AV终结者病毒再次死灰复燃,新的AV终结者病毒变种开始在网络上流窜。下面就是AV终结者病毒最新变种的简单分析报告。 一、行为概述 1.病毒母体运行后会最终会在system32 下释放随机名的.dat 文件,如:svwksxcf.dat。 2.添加注册表项,让病毒dll自动注入
|
近日AV终结者病毒再次死灰复燃,新的AV终结者病毒变种开始在网络上流窜。下面就是AV终结者病毒最新变种的简单分析报告。
一、行为概述
1.病毒母体运行后会最终会在system32 下释放随机名的.dat 文件,如:svwksxcf.dat。
2.添加注册表项,让病毒dll自动注入到进程中。
3.创建C:windowssystem32cug.dll,并从svwksxcf.dat中读取数据进行写入。
4.移动自身到临时文件夹下,并对移动前和移动后的文件路径添加重启后删除操作
二、详细
病毒注入到不同的系统进程执行各自任务。
1.EXPLORER.EXE 中的过程
首先删除注册表项:softwaremicrosoftwindowsntcurrentversiondrivers32wavemapper
会导致flash播放的文件没有声音,包括各大视频共享网站如youku等。
阻止并删除敏感文件运行枚举所有进程(EnumProcesses)判断路径中是否包含下列字符串之一:
如果有,则用TerminateProcess 尝试结束目标进程,然后首先直接用DeleteFileA删除该文件。如果删除失败(以独占方式运行),则移动当前文件到临时文件夹并添加重启删除。
创建以"__"为前缀的随机文件名,并连接成路径
"C:Docume~1ADMINI~1LOCALS~1Tmp__31.tmp"
移动目标进程文件到
"C:Docume~1ADMINI~1LOCALS~1Tmp__31.tmp"
设置目标文件重启后删除,设置"C:Docume~1ADMINI~1LOCALS~1Tmp__31.tmp"重启后删除,重写自加载项。
2.其他进程中的表现行为
在进程启动时会执行病毒模块(cug.dll)中的检测过程,如果发现当前正在启动的进程是“敏感进程”,则清除该进程文件,并退出进程。方法如下:
2.1 首先检测进程的当前路径下,是否存在“敏感文件”。
2.2 检测进程的路径中是否包含“敏感字符串”。
2.3 在进程文件的版本信息中搜索“敏感字符串”。
如果以上条件之一成立则:
首先尝试直接删除该文件,如果删除失败(如以独占方式运行),则尝试移动和设置重启删除。
创建以"__"为前缀的随机文件名,并连接成路径
"C:Docume~1ADMINI~1LOCALS~1Tmp__1C.tmp"
移动目标进程文件到
"C:Docume~1ADMINI~1LOCALS~1Tmp__1C.tmp"
设置目标文件重启后删除,设置"C:Docume~1ADMINI~1LOCALS~1Tmp__1C.tmp"重启后删除。
 (编辑:张家界站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
