2010年4月26日【IE修改器设置注册表隐藏桌面IE浏览器】

以下是2010年4月26日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件：avengert@antiy.net，我们会尽快予以答复.
        ======================================================================================================
        安天实验室每日病毒预警

一、“疯狂下载者”（Trojan/Win32.Patched.iv[Downloader]）  威胁级别：★★★★
     该文件被感染式病毒所感染，感染病毒对该文件做了入口点代码修改，当用户打开被感染的文件后，先执行病毒代码，再执行正常文件的代码。执行病毒代码后切换到正常文件代码的过程：先分配临时空间，将病毒代码存放到该缓冲区内，在文件入口偏移10E处调用执行病毒代码，获取模块句柄，打开文件从文件尾部向上偏移938（2036）字节并除去正常文件的代码，然后保存到缓冲区里，将读出来的正常文件数据拷贝到入口点处覆盖掉病毒代码，创建一个线程最后跳到原入口点执行正常文件的代码，所创建的线程是运行病毒主要功能代码。在正常文件执行后，线程同时被激活，线程执行后动态加载多个系统DLL文件，遍历%System32%目录下是否存在arpcss.dll文件，如有则退出线程，如没有则找到该文件并连接网络用于下载病毒文件并将下载的病毒文件保存到临时目录下。

二、“IE修改器”（Trojan/Win32.StartPage.zdf[Clicker]）  威胁级别：★★★★
    该恶意代码文件为木马类，病毒运行后创建互斥量MutexName = "Q-$-EXE"，以防止病毒多次运行产生冲突，创建一个线程通过检查注册表来确认是否安装QQ、迅雷等工具，并获取相应安装路径。遍历QQ的BIN目录查找TaskTray.dll文件，获取该文件的文件大小并比较文件大小是否是300000，如不是则删除%HOMEDRIVE%下的Q999.dll文件，并创建一个已经写入35328字节数据的新Q999.dll文件到%HOMEDRIVE%下，且将文件属性设置为隐藏。将BIN文件夹下的TaskTray.dll命名为Shareds.dll，将%HOMEDRIVE%下的Q999.dll病毒文件移动到BIN文件夹下命名为TaskTray.dll文件，动态获取大量API函数遍历进程查找QQ.EXE找到之后强行结束其进程。同样利用以上注册表查询迅雷的安装路径并获取迅雷目录下的mp.dll的文件大小，查找Shareds.dll文件并以该文件作为标志来判断是否已经被修改过，创建一个已经写入35328字节数据的新xlnnn.dll文件到%HOMEDRIVE%下，同样将xlnnn.dll替换成迅雷目录下的mp.dll，将mp.dll改名为Shareds.dll，再次遍历进程查找Thunder.exe找到之后结束该进程。在%HOMEDRIVE%下创建一个nyvdvm.lnk快捷方式文件、写入693字节数据，设置注册表将桌面的IE浏览器隐藏，同时将%HOMEDRIVE%下的nyvdvm.lnk快捷方式文件移动到桌面命名为Internet Explorer.lnk，调用Netbios函数获取本机MAC地址，隐藏开启iexplore.exe进程连接网络发送安装统计信息，病毒对QQ和迅雷的文件替换主要目是监视桌面上病毒创建的Internet Explorer.lnk，如发现被删除则会立即创建，这样达到无法正常删除的目的，当用户打开桌面IE浏览器时，将会跳转到病毒指定的广告网址。


安天反病毒工程师建议
        1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新；如未安装安天防线，可以登录http://www.antiyfx.com免费下载最新版安天防线来防止病毒入侵。
        ======================================================================================================



中国安天实验室
通讯地址：哈尔滨898邮政信箱
邮政编码：150006
Welcome to visit Antiy Labs
中文站 ：http://www.antiy.com
English：http://www.antiy.net