反病毒杀手木马下载器
“反病毒杀手木马下载器(Trojan.DL.Win32.AntiAV.a)”病毒:警惕程度★★★,该病毒下载木马病毒,通过网络传播。依赖系统: WINNT/2000/XP/2003。
这是一个使用Delphi编写的木马程序,主要功能为下载并运行可疑文件,它复制MsnSvc64.exe和usbctrl02.inf到系统目录中去,并将这2个文件设置为隐藏属性,使用户难以发现。该病毒的危害级别较高,它可以骗取杀毒软件的信任,并且能够强行关闭正在运行的多种杀毒软件。病毒在通过对系统注册表和系统文件的修改之后可以随系统开机而自动启动。
“反病毒杀手木马下载器”病毒技术细节1.病毒运行后会将调用CreateThread起两个线程,完成穿越杀毒软件主动防御和使各厂家软件病毒预警模块失效的功能。具体实现如下:
(1)线程1:以10毫秒为周期,调用FindWindow查找“WINDOW:主动防御 信息”的窗口,调用SendMessage发送WM_LBUTTONDOWN和WM_LBUTTONUP消息,模拟鼠标左键点击“允许”按键,来通过杀毒软件的主动防御。
(2)线程2:以5毫秒为周期,调用FindWindow查找"AVP.AlertDialog","AVP.Product_Notification","注册表警告","###McAlertWindow###","McAfee Personal Firewall Plus 警报","瑞星注册表监控提示"的"NotifyWnd"-报警的按键类窗口;调用SendMessage发送WM_CLOSE消息关闭这些病毒预警提示窗口,实现使各厂家软件病毒预警模块失效的功能。
2.病毒会将自身复制到%WINDIR%inf目录下,分析当时存储的文件名为MsnSvc64.exe(病毒复制到系统的的文件名和病毒原始文件名相同),并将资源中的动态库以文件名为usbctrl02.inf释放到同目录下,将这两个文件的属性设置为系统和隐藏,设置消息钩子将该动态库加载到系统进程中,该动态库主要功能为辅助主文件实现自身的加载、注册表项的修改和下载可疑文件并运行等功能。
3.病毒会向注册表项
SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options ctfmon.exe
SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsExplorer.exe
中加入Debugger子键其键值为“%WINDIR%inf MsnSvc64.exe”。(指定的文件名为复制到系统中的病毒文件名)被修改后,如果运行指定程序ctfmon.exe,系统会自动将病毒文件运行起来。
4.病毒会写如下注册表项,实现病毒主文件开机自启动
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNService
DNS Service = (IMAGEPATH)%WINDOWS%INF MSNSVC64.EXE