其它名稱:Trojan:Win32/Agent (MS OneCare), TROJ_DLOADE (Trend), W32.Mariofev (Symantec), W32/Mariofev.worm (McAfee)
病毒屬性:特洛伊木馬 危害性:中等危害 流行程度:
具體介紹:
病毒特性:
Win32/Pruserinf是一族特洛伊病毒,能夠下載惡意檔案,並降低系統安全設定。Win32/Pruserinf的一些變體嘗試通過網路共享傳播。
感染方式:
運行時,Win32/Pruserinf 修改%System%\user32.dll檔案來感染系統。病毒使用任意名稱複製"user32.dll"檔案,並修改一下註冊表鍵值:
病毒將以下鍵值:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
修改為:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\<2randomletters>pInit_DLLs
例如,可能修改為:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\ukpInit_Dlls
特洛伊隨後複製%System%\user32.dll 和 %System%\Dllcache\user32.dll為一個新的檔案'%System%\'。這就是說如果windows檔案保護嘗試恢復"user32.dll"檔案,病毒仍然會複製一個修改的特洛伊檔案到%System%目錄中。
Win32/Pruserinf 還會複製%System%\ntpl.bin,隨後生成以下檔案:
%System%\nvrsma.dll
%System%\nview.dll
%System%\ModCBackSocks.dll
%System%\ModSniffer.dll
%System%\ModLightHTTPcom.dll
一些檔案可能使用不同的檔案名稱被加密,例如不同的變體可能使用以下名稱:
Win32/Pruserinf.A
Win32/Pruserinf.E
Win32/Pruserinf.G
cc.ln
bmf.cs
bmf.cs
lght.ln
ccs.so
ccs.so
msnf.ln
gh.l
ho.ln
pryx.ln
mn.n
ko.o
sbmf.ln
yl.po
mn.n
上述檔案被檢測出是Win32/Pruserinf病毒。
系統重啟後,這些檔案被解密,並使用任意值被寫入以下鍵值:
HKLM\SOFTWARE\1
HKLM\SOFTWARE\2
Pruserinf 設定以下註冊表鍵值:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\<2randomletters>pInit_Dll = "nvrsma"
允許生成的"nvrsma.dll"檔案在下一次重啟後載入到"winlogon.exe"中。使用初期,特洛伊使用兩個任意字母,例如:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\ukpInit_Dll = "nvrsma"
Pruserinf生成一個任意名稱的檔案'%Temp%\',隨後生成%Windows%\1.bat,這是一個批處理檔案,在臨時檔案運行之後用來刪除臨時檔案。
這個臨時檔案生成%System%\Drivers\ecaehhld.sys檔案,並作為一個服務載入。
特洛伊還生成%Windows%\sys.log檔案,用來保存特定的系統數據。
另外,Pruserinf 將自身設定為以下服務:
Service Name: SSCn
Service File: %Root%\acl.exe
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
傳播方式:
通過網路共享傳播
一些變體顯示出蠕蟲的特徵,嘗試通過以下口令訪問網路共享:
123
666
777
1212
1313
123456
!@#
adm
admin
administrator
asa
pass
password
qaz
qazxsw
qqq
qwerty
test
ZAQ
zaqwsx
zzz
隨後Pruserinf 通過共享複製到%Root%\acl.exe。
註:%Root%是一個可變的路徑。病毒通過查詢作業系統來決定Root資料夾的位置。
一般在以下路徑 C:\。
危害:
下載並運行任意檔案
Win32/Pruserinf 嘗試從66.36.241.45 IP位址下載並運行檔案。
降低安全設定
Pruserinf變體嘗試降低系統安全性,通過刪除與下列安全產品相關的鍵值:
AntiVir
Arovax_AntiSpyware
Avast
Avg
Bitdefender
Clam
drweb
eTrust
Frisk
hp_RedPill
hp_vmio
Kaspersky
McAfee
McAfeeAntiSpyware
Nod32
Panda
SpyAdware
SpyBlaster
Spybot
SpyDoctor
SpySweeper
Spyware_Begone
Symantec
Ukranian_Antivirus_Center
vba32
VMware
Vmware_Tools
Windefender
生成服務
Win32/Pruserinf變體生成以下服務:
Service Name: AVZBC
Service File: %System%\drivers\ecaehhld.sys
Type: Kernel Mode Driver
這個檔案是AVZ Antivirus的AVZ Boot Cleaner,內容具有潛在危害性。
修改註冊表設定
Win32/Pruserinf生成以下註冊表鍵值:
HKLM\SOFTWARE\1
HKLM\SOFTWARE\1\: \
HKLM\SOFTWARE\1\: 0x
HKLM\SOFTWARE\1\: 0x00000000
HKLM\SOFTWARE\6
HKLM\SOFTWARE\6\: \
HKLM\SOFTWARE\6\: 0x
HKLM\SOFTWARE\6\: 0x00000001
HKLM\SOFTWARE\7
HKLM\SOFTWARE\7\: \
HKLM\SOFTWARE\7\: 0x
HKLM\SOFTWARE\7\: 0x00000000
HKLM\SOFTWARE\8
HKLM\SOFTWARE\8\: \
HKLM\SOFTWARE\8\: 0x
HKLM\SOFTWARE\8\: 0x00000000
HKLM\SOFTWARE\9
HKLM\SOFTWARE\9\: \
HKLM\SOFTWARE\9\: 0x
HKLM\SOFTWARE\9\: 0x00000000
運行後,Pruserinf通過查找HKLM\Software\1鍵值來確認病毒是否已經安裝在系統上。
特洛伊還會為AVZBC服務生成以下註冊表鍵值:
HKLM\SYSTEM\CurrentControlSet\Services\AVZBC
保存全球唯一標識碼
特洛伊生成一個註冊表鍵值用來保存全球唯一識別碼,例如,Win32/Pruserinf.A會設定以下鍵值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\mid: 82D391DE27CC480EB67DB68B58375A9241EBEB5636814354851F23DD23374BF7
清除:
KILL防病毒軟體最新版本可檢測/清除此病毒。
