上报一个病毒附上样本下载地址
这是我上传的地址,需要的请下载
http://www.51ta.cn/UploadFiles/2007-2/216329212.zip请勿大流量下载,这个服务器可不是下载用的。
描述:
这个病毒是用VB6.0编写,病毒体、释放体均使用FSG加壳
在Win9X等没有附带VB6运行库的系统下将无法执行
释放体图标为一个陈水扁的头像
病毒本体为正常ctfmon.exe的图标
执行后会修改系统时间至1993年3月31日
复制ctfmon.exe文件到C盘(不理解,可能是程序编写的问题吧)
按C-Z盘的顺序复制释放体(隐藏)至根目录下
释放病毒体至%windir%\system32\dllcache\ctfmon.exe
复制后执行病毒体)
病毒体自身复制到%windir%\system32\ctfmon.exe
接着使用外部命令net stop cryptsvc企图关闭Cryptographic Services服务
他会每隔1秒将本体复制到%windir%\system32\drivers\IsDrv120.sys
设置为只读、隐藏属性,达到让IceSword无法正常释放驱动的目的(这方法第一次见!高,实在是高!Hook都不用!)
每隔0.03秒检查窗口名为IceSword的程序,发现锁定鼠标在L100 R100的位置并且使用RtlAdjustPrivilege SE_SHUTDOWN_PRIVILEGE取得关机的最优先权,直接关机(同你在任务管理器中按住Ctrl并且关机的效果相同)
剩下的细节不多说了,自己研究看看吧。
我是菜鸟,哪里说的不对请高手指正,谢谢!
