病毒行为
1、释放病毒文件: %Systemroot%\system32\dllcache\dvdplay.exe %Systemroot%\system32\OLDA.tmp %Systemroot%\system32\exloroe.exe 其中主体Xiaohao.exe常驻进程。
2、尝试启动C:\Program Files\Internet Explorer\iexplore.exe,不过未见其他行为。
3、Xiaohao.exe查找可用的磁盘,在其目录下生成:Xiaohao.exe和Autorun.inf 如双击磁盘,则激活病毒。 (如果在插入U盘情况下,运行被感染的病毒,那么U盘目录会生成Xiaohao.exe和A
目前最新版的卡巴和瑞星都没有报毒。中毒后会随机弹出一些乱七八糟的网站。winlib .dll插入系统进程WinLogon.exe,并且在成功注入后将自身的磁盘映像文件C:\windows\system32\winlib .dll删除,让你怎么都找不到它,下次启动还有。
这个winlib.dll是acpidisk.sys释放出来的,另外还释放一个C:\WINDOWS\TEMP\~my1.tmp (或者~my2.tmp、~my3.tmp等)
WinLogon.exe修改注册表值——
这个病毒具有“帕虫”或称“AV终结者”的某些特征,试图终止正在运行的杀毒软件进程,映像劫持大多数的杀毒软件、防火墙及手工杀毒的安全工具,在系统盘外的其它盘生成autotun.inf及安装文件。 同时,该病毒下载如下木马和广告软件—— Trojan.Win32.Agent.pow Adware.Win32.CPush.g Adware.Win32.CPush.e Adware.Win32.Dodolook.b
Trojan.Win32.Agent.pow和Adware.Win32.CPush.e都是瑞星报的病毒名,Trojan.Win32.Agent.pow这个样本目前卡巴还不能检测出来,令人气愤地是这个东西运行时要映像劫持我的explorer.exe,卡巴居然还在沉默。估计这是个国产的木马,在这一点上卡巴输给瑞星了。
拿到的样本这两个是打在一个安装包里。Trojan.Win32.Agent.pow释放如下文件: C:\WINDOWS\system32\netdde32.exe C:\WIND
