|
【导读】这是一个使用[borland c++]编写的病毒。系统被感染后,打开ie或者其他浏览器起始页面被篡改为hxxp://wxw.3448.com/。
这是一个使用[borland c++]编写的病毒。系统被感染后,打开ie或者其他浏览器起始页面被篡改为hxxp://wxw.3448.com/。
病毒通过api hook自我保护。通过其他恶意程序或者自身下载升级下载并得到执行,使用随机文件名达到屏蔽文件名清除模式。
病毒运行后有以下行为:
一、病毒通过修改注册表softwaremicrosoftwindowscurrentversion un达到开机自动运行的目的。
病毒主要通过rundll32.exe加载。
病毒还感染tencent qq的timproxy.dll文件的导入表,可以在用户启动qq的时候加载。
加载后使用消息钩子注入各进程,并根据进程名做不同的动作。
主要有:
1、hook进程api,自我保护。
2、注入在qq.exe进程中的,仅做修改注册表的动作。
3、注入在explorer.exe进程中的病毒主要做一下动作。
(1)主要破坏注册表safeboot键,导致无法进入安全模式。
(2)下载文件并通过文件类型更新,运行或者替换hosts文件。
(3)感染tencent qq的timproxy.dll文件的导入表。
二、通过rundll32.exe加载的病毒,会把自己复制到系统目录(%systemdir%)和驱动目录(%systemdir%drivers)。
三、修改注册表以下键值:
注册表键:softwaremicrosoftinternet explorermain
数据项:"start page"
数据值为:"http://www.3448.com"
注册表键:softwaremicrosoftinternet explorersearch
数据项:"customizesearch"
数据值为:"http://www.3448.com"
注册表键:softwaremicrosoftinternet explorersearch
数据项:"searchassistant"
数据值为:"http://www.3448.com"
四、搜索进程名或者窗口文字包含以下字符串的进程,发现后关闭计算机。
| 
