11月16日 ,江民反病毒中心監測到,一個名為“無極殺手”變種b(Win32/Piloyd.b)的病毒正在網際網路上瘋狂傳播,該病毒在短短20天的時間內就感染了37萬餘台電腦。 江民反病毒專家分析,病毒運行後,生成qmgr.dll病毒檔,載入sfc_os.dll並查找其5號導出函數,使得系統的檔保護對於其要修改的qmgr.dll失效,然後病毒從資源中讀取資料寫到qmgr.dll,修改該檔時間,並啟動對應的服務。然後在系統目錄下把自身複製為lsasvc.dll並在臨時目錄釋放“TempDel.bat”以刪除自身。 病毒檢查當前模組所在進程是否為360tray.exe,如果是則創建一個名為"360SpShadow0"的設備,通過發送IO控制碼的方式控制繞過360tray.exe的檢測,完成後,退出程式。 查找當前系統中是否存在進程"360tray.exe",如果有,則將%SystemRoot%\system32\qmgr.dll複製為%SystemRoot%\system32\ 1l 1.dll,將%SystemRoot%\system32\ 1l 1.dll注入到目標進程空間,從而第一步的內容得到執行,完成後,刪除%SystemRoot%\system32\ 1l 1.dll,同時清空hosts檔。 完成以上動作後,病毒會創建多個線程執行不同操作: 將qmgr.dll對應的BITS服務啟動類型設置為自動。 刪除如下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network破壞安全模式 然後在暫存檔案夾內創建一個名為LiTdi.sys的驅動,創建名為LiTdi服務,並啟動服務。查找相關殺毒軟體或安全軟體進程,並向驅動發送IO控制碼的方式結束相關進程。 病毒還會調用IE訪問http://nbtj.114anhui.com/msn/163.htm做感染統計。從表項中依次選擇下載十幾種惡意程式,其中多數為盜號木馬。 病毒還會感染可移動存儲設備上的exe,rar,htm,html,asp,aspx文件,對於副檔名為.rar的檔,病毒還會解包感染以上副檔名檔後再壓縮回去。對於htm,html,asp,aspx的網頁檔,病毒會在其尾部加上“”的惡意代碼,使得這些網頁檔成為病毒的二次傳播源,用戶一旦點擊這些被感染檔,則會被病毒感染。 病毒還會通過自動播放功能傳播。查找可移動存儲設備並在其根目錄下生成autorun.inf,建立一個名為recycle.{645FF040-5081-101B -9F 08-00AA 002F 954E}的文件夾,把%SystemRoot%\system32\dllcache\lsasvc.dll複製到該目錄下為Ghost.exe。 通過自帶的弱密碼列表對網路上的芳鄰進行猜解,被猜解成功的管理員帳戶密碼的電腦將受到感染;如果連接成功,則將C:\WINDOWS\system32\dllcache\lsasvc.dll拷貝到對方機器的C:\cm.exe,同時創建計畫任務以啟動該病毒。 針對該病毒,《江民防毒軟體》已緊急升級,用戶只需升級殺毒軟體到最新病毒庫,開啟主動防禦和即時監控,即可有效防禦病毒,免遭“無極殺手”病毒侵害,確保電腦資料安全。 |