危险等级:★★★
病毒名称:Win32.Downloader.s
入库版本:20.22.02
类型:感染型病毒
感染的操作系统:Windows所有版本系统
威胁情况:
传播级别:低
全球化传播态势:低
清除难度:困难
破坏力:低
破坏手段:下载文件并运行
被感染的正常文件(暂时没有截获感染源样本),感染代码进行下载并运行,但不感染其它文件。
感染方法:
病毒感染文件时,在被感染文件最后新增一个大小为0x1FE大小的节并将病毒体写入。
病毒体将被感染文件的原入口点保存在最后一个节的开始处,并将PE结构中的入口点修改为指向病毒体(最后一个节)的偏移0xC1处。
感染的代码:
1、定位Kernel32.dll基址
病毒在程序入口处获取堆栈顶的值(位于Kernel32.dll内存空间),然后利用这个值按页对齐大小向前搜索,通过搜索PE文件标志“MZ”的方式获取Kernel32.dll的基址。
2、获取API
病毒获取Kernel32.dll基址后,从基址开始搜索字符串“GetProcAddress”,以此定位该函数的导出地址。获取GetProcAddress函数地址后,病毒调用该函数获取如下函数地址并保存:ExitProcess、CreateThread、WinExec、LoadLibraryA
3、启动下载线程:
病毒调用CreateThread启动下载线程,下载线程的地址在病毒体偏移0x1A8处。
4、下载线程:
病毒调用LoadLibraryA加载Urlmon并获取URLDownloadToFileA函数的地址,然后调用URLDownloadToFileA尝试下载"http://usd.88xxx.net/down/n.exe"为"C:\Program Files\svchost.exe",如果下载成功,病毒调用WinExec执行该文件。
5、返回入口点:
启动下载线程后,病毒通过保存在病毒体偏移0处的原程序入口点地址返回正常执行文件。
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到20.22.02版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
收藏
好吧~~~~爱信不信~~~~~~~
