这个是一个蠕虫型病毒,通过枚举局域网地址、获取被感染者当前的连接、下载ip地址信息的方式获取ip地址,并对这些地址尝试进行传播。病毒同时下载程序进行运行。病毒由VC6语言编写,加壳保护。
1、检查运行状态:
病毒运行后首先检测自己的是否是以“%system32%\IME\svchost.exe”运行,如不是则进行复制自己等初始化操作,反之则以服务方式运行。
2、初始化操作:
病毒删除“%system32%\IME\svchost.exe”,然后复制自己为该文件,并将属性设置为系统、隐藏,然后病毒调用CreateProcessA启动“%system32%\IME\svchost.exe”。
病毒启动“%system32%\IME\svchost.exe”后,释放批处理文件rs.bat并执行,以此来删除自己。
3、注册为服务运行:
病毒通过调用StartServiceCtrlDispatcher、CreateServiceA等函数,注册名称为“Alerter COM+”、目标为“%system32%\IME\svchost.exe”的服务,然后调用StartServiceA启动服务。
4、病毒的服务过程
病毒调用CreateMutexA尝试生成名为“"Alerter COM+”的互斥量,如失败则退出,以此来保证只有一个服务实例在运行。
病毒启动4个工作线程尝试进行网络传播和下载(详细见后面)。
病毒根据标志决定是否对本地固定逻辑盘建立AutoRun机制(详细见后面)。
病毒注册并生成窗口类名为“WebDown”、窗口名为“Alerter COM+”的隐藏窗口,并启动消息循环,然后向该窗口发送WM_DEVICECHANGE消息。
5、在固定磁盘中建立AutoRun实现自启动:
病毒根据标志(写在病毒内,推测为生成病毒时设置的)决定是否对固定硬盘建立自动运行机制。
如标志为建立,病毒对c到z逻辑盘调用GetDriveTypeA ,对类型为DRIVE_FIXED的固定逻辑盘建立自动运行机制。
病毒复制自己到该逻辑盘根目录下,名称为“setup.exe”,并生成AutoRun.inf文件以达到自动运行,病毒将setup.exe和AutoRun.inf的文件属性设置为系统和隐藏。
6、窗口消息处理:
在窗口循环中,病毒处理如下消息:
WM_CLOSE、WM_DESTROY消息,病毒调用默认窗口处理过程。
WM_CREATE消息,在窗口生成的时候,病毒调用SetTimer建立两个Timer,间隔为1秒和20分钟,回调方式为接收WM_TIMER消息。
WM_TIMER消息,病毒没隔1秒调用破坏反病毒软件和复制自己的代码(详细见后面),每隔20分钟尝试下载http://www. XXXXX.cn/jj/svch0st.exe为本地%system32%\down.exe并运行。
WM_DEVICECHANGE消息,病毒通过处理该消息得到新插入的可移动设备,并对该设备进行感染(写入病毒并建立AutoRun机制)。
7、破坏反病毒软件和复写文件:
病毒在通过处理WM_TIMER消息,每隔1秒检测并破坏反病毒软件。病毒通过调用GetCursorPos、WindowFromPoint、GetParent等函数获取当前光标下的窗口及其顶层父窗口,检测其窗口标题中是否是或包含如下内容:
Windows 任务管理器、安全卫士、扫描、专杀、注册表、Process、进程、木马、防御、防火墙、病毒、检测、Firewall、virus、anti、金山、江民、卡巴斯基、worm、杀毒
如包含这些内容,病毒通过向其发送WM_DESTROY、WM_CLOSE消息来破坏这些窗口,以此来破坏反病毒软件的运行。
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到20.23.32版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。