主页

Win32.Troj.PcGhost.g

病毒名称(中文):
电脑幽灵
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
107691
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是"电脑幽灵"的一个新变种,它能下载并安装广告程序,
并能通过驱动级的HOOK隐藏自己,使用户难以发现.

1:释放文件:
病毒体运行后,会释放这两个文件
C:\\Program Files\\Common Files\\xp4update.exe
%temp%\\QQAdHelper1.exe

释放出来的文件还会释放其它的病毒体:
xp4update.exe->
C:\\Program Files\\Common Files\\xpsp4res.dll (Win32.Troj.PcGhost.g.57344)
C:\\Program Files\\Common Files\\xpsp4tdi.sys (Win32.Troj.PcGhost.c.5248)
C:\\Program Files\\Common Files\\xpsp4reg.sys (Win32.Troj.PcGhost.g.6784)
并创建一个快捷方式
C:\\Documents and Settings\\All Users\\开始菜单\\程序\\启动\\Windows Update SP4.lnk
指向C:\Program Files\Common Files\xp4update.exe,使病毒能随Windows启动.

QQAdHelper1.exe->
%windows%\\comreg.dll (Win32.Troj.PcGhost.f.57344)
%CurDirector%\\Inject.exe (Win32.Troj.PcGhost.g.4608)

2:改写SSDT表
病毒通过驱动改写SSDT表(系统服务描述表),使下面4个函数指向xpsp4reg.sys,实现Ring0级的hook
NtCreateKey
NtOpenKey
NtQueryDirectoryFile
NtSetValueKey
该HOOK会检测运行这4个函数时的所有参数,并作出相应的返回结果.

检查以下3个函数
NtSetValueKey
NtCreateKey
NtSetValueKey
附带的参数是否包含以下字符
isdrv
filemon
darkspy
361anreg
superkill
currentcontrolset\\control\\safeboot
若有的话则返回失败,系统表现无法运行一些安全软件(如icesword,filemon,darkspy等)

NtQueryDirectoryFile
检查附带参数是否包含以下字符
XP4UPDATE.EXE
XPSP4RES.DLL
WINDOWS UPDATE SP4.LNK
GOOGLESVC.EXE
有则返回失败,系统表现是这些文件名的文件无法被看到.

3:保护文件
病毒文件xpsp4tdi.sys负责保护以下设备不受破坏
\Device\xpsp4tdi
\DosDevices\xpsp4tdi

4:注入IE下载广告
病毒会建一个IE进程,并使用Rootkit隐藏该进程,然后把
C:\\Program Files\\Common Files\\xpsp4res.dll注入到此IE进程中运行,
并读取网址http://*****.**.net.cn/**/ini/rules.ini的配置信息,如下:
------------------------------------------
[Version]
Item0=20070406
Item1=20070414
Item2=20070412

[File]
Item0=http://p.*******.net/sj/msnbot.exe
Item1=http://p.*******.net/sj/30000.exe
Item2=http://p.*******.net/sj/boolan35.exe

[Size]
Item0=107522
Item1=109186
Item2=399080

下载安装并安装上面的Item程序,30000.exe是病毒体的更新,另外两个是广告安装程序,
并把安装的结果通过post的方式发送到http://c.*******.net上,
使得用户的计算机不断地被安装上广告程序.