| 词条 | Win32.Troj.PcGhost.g |
| 释义 | 病毒别名: 处理时间:2007-04-16 威胁级别:★★ 中文名称:电脑幽灵 病毒类型:木马 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行为:这是"电脑幽灵"的一个新变种,它能下载并安装广告程序, 并能通过驱动级的HOOK隐藏自己,使用户难以发现. 1:释放文件:病毒体运行后,会释放这两个文件 C:\\\\Program Files\\\\Common Files\\\\xp4update.exe %temp%\\\\QQAdHelper1.exe 释放出来的文件还会释放其它的病毒体: xp4update.exe-> C:\\\\Program Files\\\\Common Files\\\\xpsp4res.dll (Win32.Troj.PcGhost.g.57344) C:\\\\Program Files\\\\Common Files\\\\xpsp4tdi.sys (Win32.Troj.PcGhost.c.5248) C:\\\\Program Files\\\\Common Files\\\\xpsp4reg.sys (Win32.Troj.PcGhost.g.6784) 并创建一个快捷方式 C:\\\\Documents and Settings\\\\All Users\\\\开始菜单\\\\程序\\\\启动\\\\Windows Update SP4.lnk 指向C:\\Program Files\\Common Files\\xp4update.exe,使病毒能随Windows启动. QQAdHelper1.exe-> %windows%\\\\comreg.dll (Win32.Troj.PcGhost.f.57344) %CurDirector%\\\\Inject.exe (Win32.Troj.PcGhost.g.4608) 2:改写SSDT表病毒通过驱动改写SSDT表(系统服务描述表),使下面4个函数指向xpsp4reg.sys,实现Ring0级的hook NtCreateKey NtOpenKey NtQueryDirectoryFile NtSetValueKey 该HOOK会检测运行这4个函数时的所有参数,并作出相应的返回结果. 检查以下3个函数 NtSetValueKey NtCreateKey NtSetValueKey 附带的参数是否包含以下字符 isdrv filemon darkspy 361anreg superkill currentcontrolset\\\\control\\\\safeboot 若有的话则返回失败,系统表现无法运行一些安全软件(如icesword,filemon,darkspy等) NtQueryDirectoryFile 检查附带参数是否包含以下字符 XP4UPDATE.EXE XPSP4RES.DLL WINDOWS UPDATE SP4.LNK GOOGLESVC.EXE 有则返回失败,系统表现是这些文件名的文件无法被看到. 3:保护文件病毒文件xpsp4tdi.sys负责保护以下设备不受破坏 \\Device\\xpsp4tdi \\DosDevices\\xpsp4tdi 4:注入IE下载广告病毒会建一个IE进程,并使用Rootkit隐藏该进程,然后把 C:\\\\Program Files\\\\Common Files\\\\xpsp4res.dll注入到此IE进程中运行, 并读取网址http://*****.**./**/ini/rules.ini的配置信息,如下: ------------------------------------------ [Version] Item0=20070406 Item1=20070414 Item2=20070412 [File] Item0=http://p.*******.net/sj/msnbot.exe Item1=http://p.*******.net/sj/30000.exe Item2=http://p.*******.net/sj/boolan35.exe [Size] Item0=107522 Item1=109186 Item2=399080 下载安装并安装上面的Item程序,30000.exe是病毒体的更新,另外两个是广告安装程序, 并把安装的结果通过post的方式发送到http://c.*******.net上, 使得用户的计算机不断地被安装上广告程序. |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。