|
||||
11月16日,江民反病毒中心監測到,一個名為『無極殺手』變種b(Win32/Piloyd.b)的病毒正在互聯網上瘋狂傳播,該病毒在短短20天的時間內就感染了37萬餘臺計算機。
江民反病毒專家分析,病毒運行後,生成qmgr.dll病毒文件,加載sfc_os.dll並查找其5號導出函數,使得系統的文件保護對於其要修改的qmgr.dll失效,然後病毒從資源中讀取數據寫到qmgr.dll,修改該文件時間,並啟動對應的服務。然後在系統目錄下把自身復制為lsasvc.dll並在臨時目錄釋放『TempDel.bat』以刪除自身。
病檢查當前模塊所在進程是否為360tray.exe,如果是則創建一個名為"360SpShadow0"的設備,通過發送IO控制碼的方式控制繞過360tray.exe的檢測,完成後,退出程序。
查找當前系統中是否存在進程"360tray.exe",如果有,則將%SystemRoot%\system32\qmgr.dll復制為%SystemRoot%\system32l1.dll,將%SystemRoot%\system32l1.dll注入到目標進程空間,從而第一步的內容得到執行,完成後,刪除%SystemRoot%\system32l1.dll,同時清空hosts文件。
完成以上動作後,病毒會創建多個線程執行不同操作:
將qmgr.dll對應的BITS服務啟動類型設置為自動。刪除如下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network破壞安全模式
然後在臨時文件夾內創建一個名為LiTdi.sys的驅動,創建名為LiTdi服務,並啟動服務。查找相關殺毒軟件或安全軟件進程,並向驅動發送IO控制碼的方式結束相關進程。
病毒還會調用IE訪問http://nbtj.114anhui.com/msn/163.htm做感染統計。從表項中依次選擇下載十幾種惡意程序,其中多數為盜號木馬。
病毒還會感染可移動存儲設備上的exe,rar,htm,html,asp,aspx文件,對於擴展名為.rar的文件,病毒還會解包感染以上擴展名文件後再壓縮回去。對於htm,html,asp,aspx的網頁文件,病毒會在其尾部加上『script language=javascript src=http://mm.XXXXX.cn/index/mm.js』的惡意代碼,使得這些網頁文件成為病毒的二次傳播源,用戶一旦點擊這些被感染文件,則會被病毒感染。
病毒還會通過自動播放功能傳播。查找可移動存儲設備並在其根目錄下生成autorun.inf,建立一個名為recycle.{645FF040-5081-101B-9F08-00AA002F954E}的文件夾,把%SystemRoot%\system32\dllcache\lsasvc.dll復制到該目錄下為Ghost.exe。
通過自帶的弱密鑰列表對網上鄰居進行猜解,被猜解成功的管理員賬戶密碼的計算機將受到感染;如果連接成功,則將C:\WINDOWS\system32\dllcache\lsasvc.dll拷貝到對方機器的C:\cm.exe,同時創建計劃任務以激活該病毒。
針對該病毒,江民殺毒軟件KV2010已緊急昇級,用戶只需昇級殺毒軟件到最新病毒庫,開啟主動防御和實時監控,即可有效防御病毒,免遭『無極殺手』病毒侵害,確保電腦數據安全。