特洛伊病毒Win32.PruserinfFamily
病毒名称:特洛伊病毒Win32.Pruserinf Family
其它名称:Trojan:Win32/Agent (MS OneCare), TROJ_DLOADE (Trend), W32.Mariofev (Symantec), W32/Mariofev.worm (McAfee)
病毒属性:特洛伊木马 危害性:中等危害 流行程度:
具体介绍:
病毒特性:
Win32/Pruserinf是一族特洛伊病毒,能够下载恶意文件,并降低系统安全设置。Win32/Pruserinf的一些变体尝试通过网络共享传播。
感染方式:
运行时,Win32/Pruserinf 修改%System%user32.dll文件来感染系统。病毒使用任意名称复制"user32.dll"文件,并修改一下注册表键值:
病毒将以下键值:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWindowsAppInit_DLLs
修改为:
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWindows<2randomletters>pInit_DLLs
例如,可能修改为:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWindowsukpInit_Dlls
特洛伊随后复制%System%user32.dll 和 %System%Dllcacheuser32.dll为一个新的文件'%System%'。这就是说如果Windows文件保护尝试恢复"user32.dll"文件,病毒仍然会复制一个修改的特洛伊文件到%System%目录中。
Win32/Pruserinf 还会复制%System%
tpl.bin,随后生成以下文件:
%System%
vrsma.dll
%System%
view.dll
%System%ModCBackSocks.dll
%System%ModSniffer.dll
%System%ModLightHTTPcom.dll
一些文件可能使用不同的文件名被加密,例如不同的变体可能使用以下名称:
Win32/Pruserinf.A
Win32/Pruserinf.E
Win32/Pruserinf.G
cc.ln
bmf.cs
bmf.cs
lght.ln
ccs.so
ccs.so
msnf.ln
gh.l
ho.ln
pryx.ln
mn.n
ko.o
sbmf.ln
yl.po
mn.n
上述文件被检测出是Win32/Pruserinf病毒。
系统重启后,这些文件被解密,并使用任意值被写入以下键值:
HKLMSOFTWARE1
HKLMSOFTWARE2
Pruserinf 设置以下注册表键值:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWindows<2randomletters>pInit_Dll = "nvrsma"
允许生成的"nvrsma.dll"文件在下一次重启后加载到"winlogon.exe"中。使用初期,特洛伊使用两个任意字母,例如:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWindowsukpInit_Dll = "nvrsma"
Pruserinf生成一个任意名称的文件'%Temp%',随后生成%Windows%1.bat,这是一个批处理文件,在临时文件运行之后用来删除临时文件。
这个临时文件生成%System%Driversecaehhld.sys文件,并作为一个服务加载。
特洛伊还生成%Windows%sys.log文件,用来保存特定的系统数据。
另外,Pruserinf 将自身设置为以下服务:
Service Name: SSCn
Service File: %Root%acl.exe
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。
传播方式:
通过网络共享传播
一些变体显示出蠕虫的特征,尝试通过以下口令访问网络共享:
123
666
777
1212
1313
123456
!@#
adm
admin
administrator
asa
pass
password
qaz
qazxsw
qqq
qwerty
test
zaq
zaqwsx
zzz
随后Pruserinf 通过共享复制到%Root%acl.exe。
注:%Root%是一个可变的路径。病毒通过查询操作系统来决定Root文件夹的位置。
一般在以下路径 C:。
危害:
下载并运行任意文件
Win32/Pruserinf 尝试从66.36.241.45 IP地址下载并运行文件。
降低安全设置
Pruserinf变体尝试降低系统安全性,通过删除与下列安全产品相关的键值:
Antivir
Arovax_AntiSpyware
Avast
Avg
Bitdefender
Clam
DrWeb
Etrust
Frisk
hp_RedPill
hp_vmio
Kaspersky
McAfee
McAfeeAntiSpyware
Nod32
Panda
SpyAdware
SpyBlaster
SpyBot
SpyDoctor
SpySweeper
Spyware_Begone
Symantec
Ukranian_Antivirus_Center
VBA32
VMware
Vmware_Tools
Windefender
生成服务
Win32/Pruserinf变体生成以下服务:
Service Name: AVZBC
Service File: %System%driversecaehhld.sys
Type: Kernel Mode Driver
这个文件是AVZ Antivirus的AVZ Boot Cleaner,内容具有潜在危害性。
修改注册表设置
Win32/Pruserinf生成以下注册表键值:
HKLMSOFTWARE1
HKLMSOFTWARE1:
HKLMSOFTWARE1: 0x
HKLMSOFTWARE1: 0x00000000
HKLMSOFTWARE6
HKLMSOFTWARE6:
HKLMSOFTWARE6: 0x
HKLMSOFTWARE6: 0x00000001
HKLMSOFTWARE7
HKLMSOFTWARE7:
HKLMSOFTWARE7: 0x
HKLMSOFTWARE7: 0x00000000
HKLMSOFTWARE8
HKLMSOFTWARE8:
HKLMSOFTWARE8: 0x
HKLMSOFTWARE8: 0x00000000
HKLMSOFTWARE9
HKLMSOFTWARE9:
HKLMSOFTWARE9: 0x
HKLMSOFTWARE9: 0x00000000
运行后,Pruserinf通过查找HKLMSoftware1键值来确认病毒是否已经安装在系统上。
特洛伊还会为AVZBC服务生成以下注册表键值:
HKLMSYSTEMCurrentControlSetServicesAVZBC
保存全球唯一标识码
特洛伊生成一个注册表键值用来保存全球唯一识别码,例如,Win32/Pruserinf.A会设置以下键值:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionmid: 82D391DE27CC480EB67DB68B58375A9241EBEB5636814354851F23DD23374BF7
清除:
KILL防病毒软件最新版本可检测/清除此病毒。