关于近期流行的那个改写MBR的病毒
其实,这个病毒RIS2010早就报了(Trojan.Win32.Generic.12053A2D)。
此毒在WINDOWS 7下基本不能运行,也不能改写MBR。
为了揭开此毒的神秘面纱,看看它什么德行,俺只好重启到WINOWS XP下,看看它到底搞了些啥鬼花活。
一、XP环境下实机运行病毒的结果:
1、双击病毒程序chajiangengxin.exe后,它在当前用户临时文件夹中释放一个xxx.txt文件。此处x代表阿拉伯数字。虽然是txt文档,但它却是可执行程序。不信?查看其MD5并与它“老爸”对比(图1):
附件:
您所在的用户组无法下载或查看附件2、这病毒跟中招用户玩儿“障眼法”,汗!以致不少人认为“中此毒后的一个特征是windows\temp目录下反复出现alg.exe或ali.exe”。其实不是这么回事。看看病毒进程就明白了(图2、图3):
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件3、chajiangengxin.exe运行后多次访问网络(图4)
附件:
您所在的用户组无法下载或查看附件4、中招后,MBR确实被此毒改写了。图5为运行此毒前的MBR;图6为此毒运行后的MBR。
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件5、该毒运行访问网络后,不知咋的就报错了!汗!(图7)
附件:
您所在的用户组无法下载或查看附件6、此毒改写过的win.ini(图8):
附件:
您所在的用户组无法下载或查看附件7、此毒释放的文件(图9):
附件:
您所在的用户组无法下载或查看附件8、此毒运行后的注册表改动(图10):
附件:
您所在的用户组无法下载或查看附件用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.2.15 Version/10.10
