瑞星最新病毒分析报告:流氓软件“3448”
这是一个使用[Borland C++]编写的病毒
系统被感染后,打开IE或者其他浏览器起始页面被篡改为http://www.3448.com/。
病毒通过API HOOK自我保护。
通过其他恶意程序或者自身下载升级下载并得到执行,使用随机文件名达到屏蔽文件名清除模式。
病毒运行后有以下行为:
一、病毒通过修改注册表Software\microsoft\windows\currentversion\run达到开机自动运行的目的。
病毒主要通过Rundll32.exe加载。
病毒还感染Tencent QQ的TimProxy.dll文件的导入表,可以在用户启动QQ的时候加载。
加载后使用消息钩子注入各进程,并根据进程名做不同的动作。
主要有:
1、HOOK进程API,自我保护。
2、注入在QQ.EXE进程中的,仅做修改注册表的动作。
3、注入在EXPLORER.EXE进程中的病毒主要做一下动作。
(1)主要破坏注册表SafeBoot键,导致无法进入安全模式。
(2)下载文件并通过文件类型更新,运行或者替换HOSTS文件。
(3)感染Tencent QQ的TimProxy.dll文件的导入表。
二、通过Rundll32.exe加载的病毒,会把自己复制到系统目录(%SYSTEMDIR%)和驱动目录(%SYSTEMDIR%\Drivers\)。
三、修改注册表以下键值:
注册表键:Software\Microsoft\Internet Explorer\Main
数据项:"Start Page"
数据值为:"http://www.3448.com"
注册表键:Software\Microsoft\Internet Explorer\Search
数据项:"CustomizeSearch"
数据值为:"http://www.3448.com"
注册表键:Software\Microsoft\Internet Explorer\Search
数据项:"SearchAssistant"
数据值为:"http://www.3448.com"
四、搜索进程名或者窗口文字包含以下字符串的进程,发现后关闭计算机。
hsreg.exe
xiufuhosts
hs.exe
yaass
filemon
regmon
wopticlean
4199_9505
4199 9505
41999505
95054199
9505专杀
删除9505
4199.com/9505.com
kickthemout
流氓软件清除
system repair
btbaicai.com
wopticlean
icesword
3448专杀
清除3448
删除3448
3448病毒
unlocker
killbox
hijack
ollydbg
ewido anti-spyware
文件寻找 1.0
黄山IE
瑞星卡卡
安全卫士
相关文章
- 瑞星卡卡第3号追杀令:流氓软件3448借QQ躲避追杀
- 瑞星卡卡第二号追杀令:瑞星卡卡一路追杀7939变种
- 瑞星卡卡第1号反流氓软件追杀令-流氓软件"My123"
- 将用户的权力交还给用户 瑞星正式推出卡卡3.0版
- 瑞星卡卡3.0雷霆出击 用反病毒技术铲除流氓软件