七月终结者病毒(Worm.Win32.Autorun.smn)病毒分析报告

【字号: 日期:2022-08-07浏览:11作者:雯心
通过挂马网站、U盘传播,对360、nod32等多种安全软件有针对性的破坏或劫持,下载大量木马病毒,破坏系统的一些功能,具有“机器狗病毒功能,能够破坏系统还原。1、病毒运行后首先会将自身属性设置为“系统,隐藏,并判断当前同目录下是否存在autorun.inf文件,如果存在则打开当前病毒所在的盘符。如果不存在autorun.inf文件,则设置该病毒本体在重启计算机后删除。创建一个名为“MYLASTONE的互斥量,保证系统只有一个实例运行。2、查找是否有ekrn.exe进程,如果有则执行如下指令cmd /c sc delete ekrncmd /c taskkill /im ekrn.exe /fcmd /c taskkill /im egui.exe /f查找是否有nod32krn.exe进程,如果有则执行如下指令cmd /c sc delete nod32krncmd /c taskkill /im nod32krn.exe /fcmd /c taskkill /im nod32gui.exe /f3、创建多个线程执行不同操作线程1:在临时文件夹下释放一个dll?.tmp的文件,并获取其导出表中的Rkdll函数地址,并加载该Dll文件线程2:检查%windir%system32dllcachelinkinfo.dll是否存在,如果不存在则将%windir%system32linkinfo.dll复制到%windir%system32dllcachelinkinfo.dll线程3:每隔30秒查找是否有360tray.exe这个进程,如果有则释放Fontssafeme.sys和Fontssafeg.sys这两个驱动。查找360tray.exe,360Safe.exe,safeboxTray.exe,360safebox.exe的进程,得到它们的pid,并传给Fontssafeme.sys这个驱动,该驱动调用MmUnmapViewOfSection函数释放掉这些进程的内存,使他们退出。加载Fontssafeg.sys这个驱动,并直接向该驱动发IRP删除C:Program Files360safesafemon360Tray.exe,D:Program Files360safesafemon360tray.exe,E:Program Files360safesafemon360tray.exe。线程4:对avp.exe实行IFEO映像劫持,指向ntsd.exe;释放驱动fontsdansl.sys,该驱动为机器狗类驱动,直接在系统底层替换掉%windir%system32linkinfo.dll线程5:每隔30秒,向所有分区的根目录下释放autorun.inf和RGER.PIF。Dll?.tmp文件功能:创建一个线程,结束如下进程360Safe.exe, 360tray.exe, safeboxTray.exe, 360rpt.EXE, kmailmon.exe,kavstart.exe,KAVPFW.EXE,kwatch.exe,kav32.exe,kissvc.exe,UpdaterUI.exe, TBMon.exe nod32kui.exe nod32krn.exe KASARP.exe FrameworkService.exe scan32.exe VPC32.exe VPTRAY.exe AntiArp.exe….并对上述大多数进程进行映像劫持。停止如下服务:sharedaccessMcShieldKWhatchsvcKPfwSvcKingsoft Internet Security Common ServiSymantec AntiVirusnorton AntiVirus serverDefWatchSymantec AntiVirus Drivers ServicesSymantec AntiVirus Definition WatcherMcAfee Framework 服务Norton AntiVirus Server针对IceSword查找类名为AfxControlBar42s的窗口,先发送WM_CLOSE再发送VK_RETURN消息模拟按回车键关闭冰刃。操作SOFTWAREMicrosoftWindowsCurrentVersionexploreradvancedfolderhiddenshowall使得显示隐藏文件不可用删除SOFTWAREMicrosoftWindowsCurrentVersionRun下面的360Safetray,360Safebox,360Safebox,vptray,ccApp相关键值。删除SYSTEMCurrentControlSetControlSafeBootMinimal和SYSTEMCurrentControlSetControlSafeBootNetwork破坏安全模式查找avp.exe,找到后,遍历并卸载kavbase.kdl和webav.kdl这两个模块。下载病毒和其他木马程序。
相关文章: