Heur.Invader (修改)病毒分析查杀

Heur.Invader (修改)分析

一、 病毒标签：
病毒名称： Heur.Invader (修改)

病毒类型： 下载者/木马
文件MD5: 3B48BCE70AACCBDE6FF0B3889B309EA6

文件长度： 1.89 KB (1,937 字节)

公开范围： 完全公开
危害等级： C
开发工具： C语言

加壳类型： FSG 2.0 -> bart/xt壳
命名对照：  
未查明的 NewHeur_PE 病毒
二、 病毒描述：

病毒经过入口点修改后，使用FSG压缩壳进行压缩减小程序大小。病毒运行后在后台打开IE进行反弹连接下载并执行病毒。

三、 行为分析：

运行后使用GetWindowsDirectoryA获取系统目录，然后将系统目录结合到"program files\\Internet Explorer\\IEXPLOR"

得到IE的路径。

然后WinExec运行IE，FindWindowA寻找类名为IEFrame的进程，获取其PID，打开进程获取模块句柄。使用WriteProcessMemory修改其内存，然后CreateRemoteThread建立远程线程下载病毒。

使用URLDownloadToFileA和ShellExecuteA下载以下地址文件并执行病毒：

seg002:13153000 00000021 C http://cc.gogo52o.com/crr/10.exe              

seg002:13153024 00000014 C \\com\\savesave10.exe                          

seg002:13153038 00000020 C http://cc.gogo52o.com/crr/9.exe               

seg002:13153058 00000013 C \\com\\savesave9.exe                          

seg002:1315306C 00000020 C http://cc.gogo52o.com/crr/8.exe               

seg002:1315308C 00000013 C \\com\\savesave8.exe                          

seg002:131530A0 00000020 C http://cc.gogo52o.com/crr/7.exe               

seg002:131530C0 00000013 C \\com\\savesave7.exe                          

seg002:131530D4 00000020 C http://cc.gogo52o.com/crr/6.exe               

seg002:131530F4 00000013 C \\com\\savesave6.exe                          

seg002:13153108 00000020 C http://cc.gogo52o.com/crr/5.exe               

seg002:13153128 00000013 C \\com\\savesave5.exe                          

seg002:1315313C 00000020 C http://cc.gogo52o.com/crr/4.exe               

seg002:1315315C 00000013 C \\com\\savesave4.exe                          

seg002:13153170 00000020 C http://cc.gogo52o.com/crr/3.exe               

seg002:13153190 00000013 C \\com\\savesave3.exe                          

seg002:131531A4 00000020 C http://cc.gogo52o.com/crr/2.exe               

seg002:131531C4 00000013 C \\com\\savesave2.exe                          

seg002:131531D8 00000005 C open                                           

seg002:131531E0 00000020 C http://cc.gogo52o.com/crr/1.exe               

seg002:13153200 00000013 C \\com\\savesave1.exe

解决方案：

把http://cc.gogo52o.com添加至HOSTS进行屏蔽。

删除以下文件：

%windir%\system32\Com\savesave1.exe 

。。。。。

%windir%\system32\Com\savesave10.exe 

从savesave1.exe到savesave10.exe一共10个文件。

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%   = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
     %Windir%\       WINDODWS所在目录
%DriveLetter%\    逻辑驱动器根目录
%ProgramFiles%\    系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

www.newjian.com