网络安全 频道

全面解剖sbl(U盘病毒)的支体隐藏

  【IT168 专稿】病毒侵害电脑安全,杀软保卫计算机,两者间的对抗永远没有结局,旧的病毒倒下了,新的恶意程序又出现了,病毒的再造力绝不可小视。而第三方存储设备却是病毒通过网络传输以外的传播大道,很多病毒程序撰写者正是瞄准此点,加大了此类病毒的编写量。

  病毒简介

  病毒名称:sbl.exe

  病毒长度: 25088 字节

  传播途径:第三方存诸设备

  感染平台:windows98、windows2000、windows nt 、windows xp等

  中毒症状:用户会发现在每个磁盘下都出现sbl.exe可执行文件并且删不掉,还伴有autorun.inf文件。杀毒软件自动关闭,无法查看杀软网页,如使用第三方安全软件也将被强制关闭,用户无法查看windows任务管理器。

  病毒分析

  当病毒感染一台计算机后,首先会在C:\WINDOWS\system32下生成1.inf启动信息文件、chostbl.exe程序文件和lovesbl.dll库文件,并在硬盘所有分区下创建autorun.inf和sbl.exe文件,其Autorun.inf内容为:

  [autorun]

  OPEN=sbl.exe

  shellexecute=sbl.exe

  shell\Auto\command=sbl.exe

  shell=open

  定时检测其属性是否为隐藏。随后病毒转战注册表,注册服务AnHao_VIP_CAHWA 显视名称为GooD DownLoad CAHW,数字字串为1,其值指向C:\WINDOWS\system32\chostbl.exe程序文件,以达病毒源程序自启动的目的。

  病毒完成上述行为后,开始调用TerminateProcess函数关闭:360tray.exe、360safe.exe、avp.exe、runiep.exe等安全类软件;其次开始调用另一函数GetWindowsTextA以获得当前用户窗口标题,并利用PostMessageA函数尝试发送WM_CLOSE、WM_DESTROY、WM_QUIT指令自动关闭带有:江民、金山、微点、卡卡、木马克星、木马清道夫、超级巡警、安全卫士、NOD32核心及任务管理器等窗口,让安全软件无力运行;随后病毒程序调用FindWindowA函数,尝试利用函数PostMessageA发送WM_CLOSE指令,关闭AVP.AlertDialog、AVP.Product_Noti及AVP.Product_Notification窗体;最后会运行cmd.exe程序执行net stop sharedaccess命令 关闭Windows自带的防火墙服务,以达扫除障碍保存自已的目的。

  此时病毒仍然没有罢手,而是在被感染计算机的C:\WINDOWS\system32\lovesbl.dll插入svchost.exe进程,自行利用svchost.exe程序每200ms一次从互联网中下载木马程序wei.exe、hao.exe、haowei.exe到C:\Documents and Settings目录下,分别命名为servciesa.exe~servciesc.exe。导致除了硬盘目录WINNT、WINDOWS、NetMeeting、RECYCLE、Internet Explorer、System Volume Information、Outlook Express、Common Files、Messenger、Windows Media Player、WinRAR、MSOCache、Documents and Settings下的exe无法被感染外,所有的硬盘exe可执行文件将被加入593字节的病毒内容,但其原图表不变。

0
相关文章