2020年7月13日 星期一
| 首 页 | 部门首页 | 英语电台 | 信息公告 | 网络学苑/管理 | 病毒与安全 | 规章制度 | 网络简介 | 用户指南 | 校长信箱 |
当前位置:首页>>病毒与安全>>内容展示
auto病毒群执行流程

添加时间:2008/4/18 部门:网络与电教中心 点击量:8358

 1. 参考C 盘卷序列号的数值算出8 位随机的服务名,exe 和dll 的文件名。(还记得AV终结者吗?最开始出来就是随机8位数文件名的EXE)
  2. 搜索当前文件名是不是auto.exe,若是调用explorer.exe  ShellExecuteA 打开驱动器。
  3. 对抗杀毒软件:
      搜索注册表启动项里是否有“360”字符串键值,有则删除,使得360以后都无法自动启动。并紧接着关闭已启动的360程序。
      检查当前进程中有没有卡巴斯基的进程AVP.EXE ,有的话修改系统时间,令依赖系统时间进行激活和升级的卡巴失效。
      病毒还会试图关闭金山毒霸它查找毒霸的监视提示窗口”KAVStart” ,找到后通过PostMessageA 发送CLOSE 消息,然后用FindWindowExA 搜索”金山毒霸” 通过SendMessageA 发送关闭消息,以及模拟用户,发送点击鼠标按键消息关闭。不过,经测试以上方法都不能关闭金山毒霸。
  4. 比较当前文件运行路径是不是在系统SYSTEM32 下的随机名,不是则复制自身副本到系统SYSTEM32 。
  5. 将DLL注入系统进程,运行之后释放det.bat 删除自身
  6. 病毒文件注入explorer.exe 或winlogon.exe 循环等待,利用它们的空间运行自己,实现隐蔽运行。
  7. 查找启动项里是否有包含360 的字符串,有了删除,并用SeDebugPrivilege 提升权限和ntsd 关闭程序,搜索窗口是否含有“金山毒霸”,有了模拟操作关闭。
  8.篡改注册表中关于文件夹显示状态的相关数据,将系统隐藏文件选项删除。
  9. 病毒查找老版本的自己留下的注册表信息,将其删除,便于进行升级。
  10. 从病毒作者指定的地址http://33.xi***id*8.cn/soft/update.txt 下载病毒列表,根据列表信息去下载其它病毒,每次下载一个,运行后删除,再接着下载。
  在它下载的病毒文件中,有木马自己的升级文件和某国际知名品牌的网络语音通讯软件,另外还包含17个针对不同知名网游的盗号木马,而在这些木马中,有一些其本身也具备下载功能。如果它们成功进入电脑,将引发无法估计的更大破坏。
  11.除在本机上进行盗号,病毒还将自己的AUTO病毒文件auto.exe 和autorun.inf 释放到每一个磁盘分区里。autorun.inf 指向auto.exe。只要用户用鼠标双击含毒磁盘,病毒就会立即运行,搜索包含U盘等移动存储器在内的全部磁盘,如果发现有哪个磁盘尚未中毒,就立刻将其感染,扩大自己的传染范围。
 


返回】【  】【关闭】【打印
版权所有 中国农业大学(烟台) 网络与电教中心 CopyRight 2007