今天发现此种病毒求助者见多,收到样本后,利马测试了一下。该病毒就是前些日子流行的“修改系统时间”的病毒之变种。此次变种可谓是集N种破坏性病毒之大成了。主要破坏功能有:1.感染exe 并使得被感染的exe的公司等属性变为“番茄花园”
2.感染html a 等文件 插入恶意代码
3.通过双击磁盘启动
4.下载木马,盗取网游帐号
5.修改注册表 使系统无法显示隐藏文件
6.通过hook API 函数 导致任务管理器中 无法看见其进程
分析报告如下:
File: rising.exe
Size: 64775 bytes
File Version: 1.00
MD5: 86311B37D938 35645E7B092014DD63
SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3
CRC32: 88A D9B
rising.exe 运行后 首先释放一个rising.eve的文件 然后由rising.exe启动他
之后 释放139CA82A.EXE 139CA82A.dll(随机的8个数字字母组合成的文件名)到系统文件夹
注册服务139CA82A.EXE
139CA82A.EXE控制winlogon进程 使得139CA82A.dll插入几乎所有进程
释放rising.exe 和autorun.inf 到每个分区 使得双击磁盘启动
感染 除系统分区外的exe文件 使得其公司名全变为 番茄花园
感染 html a 等文件 在其后面插入代码