蓝派网(www.lan27.com)-精选网络资源,分享和交流! 文章首页站内搜索在线手册广告代码酷站欣赏万年历
您现在的位置: 蓝派网 >> 文章中心 >> 精选文摘 >> 电脑网络 >> 正文

极虎病毒:虎年第一猛毒详解

作者:佚名    文章来源:网络    更新时间:2010-2-10 2:22:45
下周就是春节,对于我这个从事反病毒工作多年的人来说,这个春节和以往大不相同。安全圈子里,一个口水接着一个口水,你说他的软件有洞,他说你的软件带孔,还要闹到法庭打官司,这大过年的,律师和公证都快被烦死了。

相对于安全圈里天天你的鼻子我的眼睛,那些靠造病毒发财的人却很和谐——各种各样攻击的教程继续被传播,攻击代码被分享。春节前,金山安全实验室就监测到一个明显的异常——查询rar.exe、ping.exe、appmgmts.dll用户大量增加,金山工程师猜测这个系统文件可能正在被一些病毒攻击。从中,他们找到一些病毒的母体程序。

分析这些样本,他们判断,这些病毒将严重影响大家过年的愉悦指数,他们给这些病毒取了一个很王道的名字——极虎,金山安全实验室会继续监视”极虎“病毒的进一步动向。

以下是对”极虎“病毒的详细分析:


概述:
近期,毒霸捕获到高危的感染型下载者病毒,以下是用户的求助:
1)PING.EXE的进程在不停的跳动,无法结束
2)准备装杀软,发现绝大部分杀软网站都无法访问
3)装360杀毒,安装后无法启动杀软,双击无反应
4)装瑞星2010,能安装,重新启动后无法正常启动,所有监控关闭
5)装费尔能杀,能检测到注册表异常,修复后一直报病毒,能删除,但是一直在不停的删除
6)安全模式还没加载完就自动重启
7)微点、瑞星主动防御启动失败
8)360:无法启动,点后也没反应(进程能看到)

监控系统发现部分杀毒软件检测到appmgmts.dll是病毒后会直接删除,从而导致用户的系统文件受损。

病毒危害:
该病毒会感染用户机器上的所有可执行文件,并联网下载大量盗号、广告类软件,严重危害到系统的安全,同时该病毒非常隐蔽,没有特定的进程,而采用"线程"插入的方法,插入到正常的系统进程Svchost.exe中,只有在进程模块中,才能看到病毒原体。

如图所示是在冰刃中查看到的Svchost.exe模块信息:

中毒后的现象:
用户机器出现"很卡"的现象,因为此时病毒会调用WINRAR的解包模块去查找解压RAR文件,感染压缩包中的其它程序文件后,再打包。如果清除病毒不彻底的话,用户可能会在重新打开压缩文件时再次中毒。

同时由于该进程是SYSTEM权限,导致用户无法用任务管理器结束该进程

2.正常的系统文件appmgmts.dll被病毒替换:(正常的appmgmts.dll有版本信息等而病毒释放的则没有)


3.系统中一些EXE文件无故变大,例如:看图软件ACDSee被感染前后,文件大小虽改变,但是文件修改时间没变,大部分用户无法发现病毒的潜伏体,一旦点击,后果不堪设想..



文件被感染后,多出了一个".tc节",如图所示:

该病毒还会感染html、htm、asp等网页文件:

感染后会在网页文件的末尾插入一段恶意的挂马网址:

更猥琐的事还在继续,病毒体将rar文件解压缩,并感染其内的正常文件后,在将文件打包回去:
(盗用百度被黑时,李彦宏说的:始无前例啊,始无前例)

图中的HH.IDA.Pro.v5.2.rar是已经被感染后的文件,丝毫看不出破绽,因为系统时间也被病毒修复为以前的了...

网络环境出现拥堵,病毒体会从网站上下载病毒到本地,并激活该病毒的新变种
http://208.53.151.219:8080/down/XXX.exe
该病毒的变种会伪装成快播播放器的图标,迷惑用户点击

无缘无故弹出网页文件,打开连接为:http://tj.nba1001.net:7777/tj/mac.html

利用$ipc查看局域网内的所有共享,并试图感染局域网的其他机器。(这里发现了久违的蠕虫特征)

系统被加载由病毒体释放的驱动文件,如果安装的杀软和该驱动有冲突,很容易造成用户机器蓝屏。
以下是病毒释放的驱动文件:

操作系统会弹出提示,关键系统文件被替换



9.毒霸实时防毒会报警,以下是运行病毒母体时毒霸拦截并清除:



10.急救箱检测到大量系统异常:

发现大量安全软件被映像劫持,系统文件被破坏:


病毒清除方法:
1下载金山急救箱,修复被病毒替换的文件
http://cu003.www.duba.net/duba/tools/dubatools/ksm3/ksm3.exe

2.重启电脑,运行金山毒霸全盘杀毒,毒霸会修复被感染的文件,并保证用户的文件不会被删除。
未安装的,可以从http://cd001.www.duba.net/duba/install/2009/once/DUBA100128_DOWN_10_10.exe下载

3.下载金山网盾,防止网页挂马导致的重复性中毒(已经安装金山毒霸组合装的用户不必再安装)
http://i2d.www.duba.net/i2d/kws3/KWSSetup.exe
发表评论】【打印此文】【关闭窗口】【点击数:
★好玩的休闲小游戏★

本 栏 推 荐

本 栏 热 门

站 内 推 荐

图 文 推 荐