垃圾中华吸血鬼

访问磁盘底层！有可能破坏硬盘分区表、kill硬盘、搞掉全部资料，并有大量后续动作……中华吸血鬼的行为分析病毒初始化过程：1.创建一个互斥量：中华吸血鬼2.22.删除SOFTWARE/Microsoft/Active Setup/Installed Components/{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}3.释放如下副本或文件：%systemroot%/Tasks/绿化.bat%systemroot%/Tasks/csrss.exe%systemroot%/Tasks/wsock32.dll4.之后创建很多线程，执行多种病毒功能：(1)通过GetWindowTextA函数获得窗口标题，并比较是否含有如下字样worm卡巴斯基江民金山AntiantiVirusvirusFirewallMcafee查杀主动防御【请注意文明用语】系统保护主 动主动杀马木马上报举 报举报进 程进程系统安全ProcessNOD32专   杀专 杀专杀安全卫士绿鹰...如果含有则使用PostMessage函数会发送消息给他们：首先发送一个WM_Destroy，之后发送两个WM_Close 最后发一个WM_Destroy 的消息。并把窗口标题名保存下来。之 后会调用Messageboxa函数弹出一个标题为"Windows盗版验证为"的窗口并显示如下字样“安全提示：您正在使用的(刚刚获得的窗口标题名称)是盗版软件，可能您是盗版软件的受害者，为了给合法用户提供保证，我们无法继续给您提供服务，请到指定销售商购买我们的正版软件,如果有任何疑问,请到我们微软主页查看http://www.microsoft.com”(2) 破坏冰刃查找类名为Afxcontrolbar423s的窗口然后发送WM_Close关闭 再模拟键盘输入按一下回车键(3) U盘传播功能检测可移动存储中是否有autorun.inf文件，如果有将其改名之后向里面写入autorun.inf创建recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夹，在该文件夹内写入GHOSTBAK.exe（病毒文件）(4) 病毒感染统计搜集被感染主机的mac地址，并把被感染主机的mac地址和感染的病毒版本发送给http://www.*******.cn/tj/ct.asp页面(5) 修改hosts文件获得%programfiles%的环境变量，接着查找[url=file:////drivers/etc//hosts]//drivers/etc//hosts[/url]文件写入如下数据：127.0.0.0 360.qihoo.com127.0.0.1 qihoo.com127.0.0.1 www.qihoo.com127.0.0.1 www.qihoo.cn127.0.0.1 124.40.51.17127.0.0.1 58.17.236.92127.0.0.1 www.kaspersky.com127.0.0.1 60.210.176.251127.0.0.1 www.cnnod32.cn127.0.0.1 www.lanniao.org127.0.0.1 www.nod32club.com127.0.0.1 www.dswlab.com127.0.0.1 bbs.sucop.com127.0.0.1 www.virustotal.com127.0.0.1 tool.ikaka.com127.0.0.1 www.jiangmin.com127.0.0.1 www.duba.net127.0.0.1 www.eset.com.cn127.0.0.1 www.nod32.com127.0.0.1 shadu.duba.net127.0.0.1 union.kingsoft.com127.0.0.1 www.kaspersky.com.cn127.0.0.1 kaspersky.com.cn127.0.0.1 virustotal.com127.0.0.1 www.360.cn127.0.0.1 www.360safe.cn127.0.0.1 www.360safe.com127.0.0.1 www.chinakv.com127.0.0.1 www.rising.com.cn127.0.0.1 rising.com.cn127.0.0.1 dl.jiangmin.com127.0.0.1 jiangmin.com每1秒循环一次(6) 遍历进程，调用Terminate Process函数结束如下进程：AST.exe360tray.exeast.exeFWMon.exe(7) 遍历磁盘文件删除扩展名为gho,GHO,Gho的文件(8) arp欺骗功能获取本机IP地址 然后把所在同网段内的.2~.255的机器作为欺骗对象由系统目录下的arps.com执行%s   -idx 0 -ip %s -port 80 -insert /"%s的命令 对局域网内机器进行arp欺骗(9) 局域网弱密码猜解传播以administrator为用户名，对局域网中其他机器进行密码猜解。如果成功则复制到对方机器的共享的C,D,E,F盘中，以hackshen.exe病毒猜解的密码字典如下：woainibabyasdfNULLangelasdfgh13145205201314caonima88888bbbbbb12345678memoryabc123qwerty123456passwordenterhackxpusermoneyyeahtimegameuserhomealexguestadmintestadministratormovierootlove(10)删除HKLM/SOFTWARE/Microsoft/Windows Script Host/Settings键释放一个hackchen.vbs到%systemroot%/Taskshackchen.vbs内容：On Error Resume NextSet rs=createObject("Wscript.shell")rs.run "%windir%/Tasks/csrss.exe",0并 且注册HKLM/SOFTWARE/Microsoft/Active Setup/Installed Components/{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}   指向%systemroot%/Tasks/hackchen.vbs(11) 病毒自动更新功能。在系统目录下释放meupdate.ini文件，并且和http://www.*******.cn/22.txt做比较，如果不同则下载http://www.*******.cn/server.exe（最新版病毒程序）到c:/_default.pif，并且每600ms执行一次(12)通过查找%ProgramFiles%的环境变量获得程序文件夹路径，之后查找[url=file:////WinRAR//Rar.exe]//WinRAR//Rar.exe[/url]获得winrar安装路径。遍历所有分区的.rar,.zip,.tgz,.cab,.tar文件 找到后后台调用winrar执行"（winrar路径）" -ep a "（找到的rar等文件路径）" %systemroot%/Tasks/绿化.bat 命令将绿化.bat压缩进压缩包，绿化.bat即为病毒本身，诱使用户点击中毒。(13)（此方法十分新颖）遍历所有文件夹并且将%systemroot%/Tasks/wsock32.dll 复制到每个文件夹下当该文件夹下的exe文件的导入表含有wsock32.dll的时候，会首先调用同文件夹下的wsock32.dll，也就是病毒释放的文件。此时会从下载http://www.*******.cn/server.exe（病毒最新版本）并执行！！！(14) 查找某些类名为#32770的窗口，并且试图发送"我做了快一个月了,每天2个小时有40-50元的收入,你也来看看吧,长期大量招聘网络兼职 http://www.*******.cn/jianzhi.htm"的消息给对方(应该是通过QQ之类的聊天工具传播)(15) 遍历非系统分区的html,aspx，htm等文件 写入iframe代码(16)下载木马功能下载http://www.*******.cn/ft/qq.exehttp://www.*******.cn/cj/qq.exe并执行清除方法不作赘述，安全模式下清理所有文件夹下的wsock32.dll，并利用工具清理%systemroot%/Tasks/绿化.bat%systemroot%/Tasks/csrss.exe并打开所有压缩包文件 删除里面的绿化.bat。最后使用杀毒软件全盘杀毒是在关闭杀软之后弹出窗口，容易给不知情者以迷惑；其次病毒释放的wsock32.dll会使得任意该目录下的exe文件成为下载病毒文件的傀儡；再次由于windows的某些保护，tasks目录下的文件无法直接看到，这又给病毒了一个绝佳的藏身之地；最后，病毒还会将自己压缩到压缩包中，起一个诱惑的名字诱使用户再次中毒。最近恶性病毒以及木马群肆虐，但此类行为特征新颖的病毒也有所猖獗，望大家做好防范！