今天接到了好幾起感染這個(gè)病毒的案例 分析了一下 這個(gè)病毒就是先前的羅姆病毒的新變種

File: Windows.scr
Size: 28024 bytes
Modified: 2007年9月11日, 23:49:55
MD5: E47C0D7E26B63E44DD5929618E64FD57
SHA1: 072597E8C7D3F6FD3644919414245BCE42317C33
CRC32: 4E29C95D

1.生成如下文件：
C:Program FilesCommon FilesfjOs0r.dll
C:Program FilesInternet ExplorerOnlO0r.bak（就是windows.scr文件）
C:Program FilesInternet ExplorerOnlO0r.dll
C:Program FilesInternet ExplorerOnlO0r.obk

fjOs0r.dll和OnlO0r.dll注入到Explorer進(jìn)程中

2.添加注冊(cè)表鍵值
HKCRCLSID{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}InProcServer32
指向C:Program FilesInternet ExplorerOnlO0r.dll
HKCRCLSID{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}InProcServer32
指向HKCRCLSID{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}InProcServer32
達(dá)到開機(jī)自動(dòng)加載的目的

3.如果有新的移動(dòng)存儲(chǔ)設(shè)備插入電腦，則往里面寫入windows.scr和autorun.inf文件

4.通過(guò)遍歷HKEY_LOCAL_MACHINE下 相關(guān)軟件的installpath,ProgramPath,Folder,InstallDir,Installed Path等的鍵值 獲得某些安全軟件的安裝目錄，比如360安全衛(wèi)士，瑞星殺毒軟件，諾頓等

在這些安全軟件的目錄中創(chuàng)建MFC42.DLL的文件夾并在MFC42.DLL文件夾下生成歧義文件夾10I11O10..導(dǎo)致windows下無(wú)法刪除該文件夾#p#副標(biāo)題#e#

5.感染除系統(tǒng)分區(qū)外的exe文件

被感染文件被加入2092個(gè)字節(jié)的代碼 被感染文件創(chuàng)建時(shí)間被改為1620年或者1619年

被感染文件被加入的代碼具備下載功能 能夠聯(lián)網(wǎng)下載病毒主程序

6.由Explorer.exe連接網(wǎng)絡(luò)

讀取http://www.*.org/Data/No.txt配置文件

下載木馬和病毒
http://*/Images/Hide/1.exe
http://*/Images/Hide/2.exe
http://*/Images/Hide/3.exe
http://*/Images/Hide/4.exe
http://*/Images/Hide/5.exe
http://*/Images/Hide/6.exe
http://*/Images/Hide/7.exe
http://*/Images/Hide/8.exe
http://*/Images/Hide/9.exe
http://*/Images/Hide/10.exe
http://*/Images/Hide/11.exe
http://*/Images/Hide/12.exe
http://*/Images/Hide/13.exe
http://*/Images/Hide/14.exe
http://*/Images/Hide/15.exe
http://*/Images/Hide/16.exe
http://*/Images/Hide/M2.exe
http://*/Images/Hide/smss.exe
到%Temp%文件夾
其中M2.exe為病毒主程序的最新版本（即病毒具有在線更新功能）
前面說(shuō)的被感染的exe文件 也是連接網(wǎng)絡(luò)下載這個(gè)文件

其他木馬植入完畢后在%System32%文件夾下生成很多wldoor0.dll類似的**door0.dll的文件
并且插入Explorer.exe和由explorer.exe啟動(dòng)的進(jìn)程
這些**door0.dll都是盜號(hào)木馬
主要盜取如下網(wǎng)絡(luò)游戲的帳號(hào)和密碼（包括但不限于）

盛大通行證的帳號(hào)密碼
天龍八部
大話西游Online II
夢(mèng)幻西游
完美世界
誅仙
問(wèn)道
熱血江湖
QQ幻想
魔域
傳奇世界
魔獸世界
...

sreng日志體現(xiàn)如下

注冊(cè)表
啟動(dòng)項(xiàng)目
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
<{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:Program FilesInternet ExplorerOnlO0r.dll>[Microsoft Corporation]
<{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:WINDOWSsystem32mhdoor0.dll>[]
<{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:WINDOWSsystem32wodoor0.dll>[]
<{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:WINDOWSsystem32ztfree0.dll>[]
<{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:WINDOWSsystem32wgdoor0.dll>[]
<{32C4BAF4-0411-4000-BDFB-A6F71E669F8C}><C:WINDOWSsystem32csdoor0.dll>[]
<{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:WINDOWSsystem32wldoor0.dll>[]
<{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:WINDOWSsystem32dadoor0.dll>[]

瀏覽器加載項(xiàng)
[]
{C2626E66-D21B-E628-C1DF-1DACCFA36ED2} <C:Program FilesCommon FilesfjOs0r.dll, Microsoft Corporation>

[PID: 1704][C:WINDOWSExplorer.EXE][Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:Program FilesInternet ExplorerOnlO0r.dll][Microsoft Corporation, 1. 0. 0. 1]
[C:Program FilesCommon FilesfjOs0r.dll][Microsoft Corporation, 1. 0. 0. 1]
[C:WINDOWSsystem32mhdoor0.dll][N/A, ]
[C:WINDOWSsystem32wodoor0.dll][N/A, ]
[C:WINDOWSsystem32csdoor0.dll][N/A, ]
[C:WINDOWSsystem32wldoor0.dll][N/A, ]
[C:WINDOWSsystem32ztfree0.dll][N/A, ]