看來有些中國特色啊,剛剛狗狗咬來的:

來源: 8X8 2008-09-29 20:33:02 [] [博客] [舊帖] [給我悄悄話] 閱讀數 : (1568 bytes)

Winxp.dll,psapi.dll,Win32.Troj.KillAVT.ah.119784
2008-09-23 來源:金山

Win32.Troj.KillAVT.ah.119784是個廣告木馬程序。病毒作者在對抗安全軟件方麵,參考AV終結者的一些行為。如成功入侵係統,它就會彈出許多的廣告窗口,嚴重幹擾用戶的正常使用。

病毒運行後先釋放下列兩個文件:
C:\WINDOWS\Winxp.dll
C:\WINDOWS\system32\drivers\winsawids.sys

然後Winxp.dll再釋放下麵的文件:
C:\WINDOWS\system32\psapi.dll

psapi.dll還會生成一個profile.out的文件。

創建係統服務啟動sys文件:

Key: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management"
ImagePath: "\??\C:\WINDOWS\system32\drivers\winsawids.sys"
DisplayName: "Windows Management Instrumentations"
ObjectName: "LocalSystem"

由Winxp.dll再啟動psapi.dll

Winxp.dll會遍曆係統進程信息查找下列殺毒軟件,找到的話調用TerminateProcess結束掉:
ravmond.exe
ravmon.exe
ravstub.exe
ravtask.exe
rsagent.exe
rstray.exe
ras.exe
ccenter.exe
kwatch.exe
kpfwsvc.exe
kpfw32.exe
kmailmon.exe
kissvc.exe
kavstart.exe
然後,再使用TaskKill加上下麵的字串的方式結束殺軟
/f /im kmailmon.exe
/f /im kpfwsvc.exe
/f /im ccenter.exe
/f /im ravmond.exe
/f /im ravstub.exe

winsawids.sys的功能為恢複SSDT過殺毒軟件,另外提供了2個IoControlCode:2220C0h和22E14Bh供dll文件使用,來HookSSDT中的函數,隱藏自身文件。

psapi.dll的會創建名為profile.out的配置文件,修改用戶係統設置

推薦安裝金山毒霸正版的殺毒軟件進行全麵監控,防範Winxp.dll,psapi.dll,Win32.Troj.KillAVT.ah.119784病毒

所有跟帖: 

請您先登陸,再發跟帖!