论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 1869阅读
  • 0回复

[求助-软件问题]病毒伪装微软文件 诱使用户关闭防火墙 [复制链接]

上一主题 下一主题
离线zhb_3448
 

发帖
59686
今日发帖
最后登录
2016-12-13
只看楼主 倒序阅读 使用道具 楼主  发表于: 2008-10-13 00:56:51
看华南虎发来的病毒播报,注意到其中有这样一个病毒:“欺骗者捆绑器2060299”(PE.VBIconchgs.il.2060299)。 病毒分析描述:
病毒名称(中文):欺骗者捆绑器2060299
威胁级别:★★☆☆☆
病毒类型:文件捆绑器
病毒长度:2060299
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个由VB语言所写的感染型捆绑器程序。它能够将病毒程序捆绑到正常的文件上,进入电脑后就释放出病毒。它所携带的病毒是个远程木马,具有欺骗能力,会试图欺骗用户关闭自己的防火墙。
1.病毒伪装为微软文件,附带如下版权信息。(病毒会伪装成带有微软签名的程序,不加留意会以为这是微软发布的补丁文件)

备注:Microsoft HotFixes产品版本:5.04.0103产品名称:Microsoft HotFixes公司:Microsoft Corporation合法商标:Microsoft HotFixes内部版本:Installer94源文件名:Installer94.exe
病毒内存在字符串Awsotr_Auto_Infect_And_Icon_Changer。
2.病毒释放文件至%WindowsDirectory%\A__rd.exe执行,并将需要绑定的文件以及图标释放至c:\msasn1目录下,文件为:BProtect.Axv、BProtect.exe、mqperf.exe、msidntld#.exe、Set1.Ico文件,并在执行过程中不断变化图标文件。
3.病毒搜索磁盘中文件,并将需附加部分附加于搜索到的.exe文件前方,以及图标文件组合为新文件。
4.被感染文件被执行时,释放绑定的病毒文件并执行。病毒并不会释放以及执行原文件。
5.病毒捆绑部分为木马程序,伪装为微软防火墙程序,病毒中存在如下字符串(这段字串是在病毒执行时弹出的对话框,诱使用户关闭其它杀毒软件):

这个磁盘正受到微软防火墙的保护如果其它反病毒软件阻止了微软防火墙的运行请关闭其它杀毒软件并我们建议您只运行微软防火墙来代替其它反病毒配置以获得更高的兼容性 等...
病毒文件伪装为微软文件,并附带如下版权信息:

备注:Microsoft Firewall Installer 12th Edition产品版本:1.01.0040产品名称:Microsoft Firewall Installer公司:XC Microsoft合法商标:Microsoft Firewall Installer内部名称:FirewallN39源文件名:FirewallN39.exe
我没有拿到这个样本,也就没有这个病毒运行后对话框的截图了。

主队让半球高水,一般不能要主队!
凡是开半一的盘,一般不能要下盘!
凡是开一球或一球球半的盘,一般不能要上盘!
凡是开一球半以上的盘,一般不能要下盘!