关于流氓软件"My123"

流氓软件"My123"

“my123”侵入用户电脑之后，会把浏览器的首页修改成“my123.com”，由于采用了Rootkit技术，很多反流氓软件工具及杀毒软件难以彻底清除。与原有的流氓软件不同，它在技术上全面向病毒靠拢：采用Rootkit技术、随机更改驱动名称，对自身进程及文件进行保护；它还会在短时间内频繁升级，有时候一天之内会出现十余个变种，使得很多反流氓软件工具都很难对付。

这是一个使用[C++]编写的, 使用驱动保护的恶意程序.
系统被感染后, 打开IE或者其他浏览器起始页面被篡改为http://***.my123.com/.

通过其他恶意程序或者自身下载升级下载并得到执行.

该程序修改IE起始页, 并使用HOOK技术, 导致Start Page内容无法正确读取, 使用随机文件名达到屏蔽文件名清除模式


1. 恶意软件的升级
 首先下载升级内容, 然后从升级配置中获取更进一步的自身升级地址.
 http://dl.hao318.com/dl/mspalnt1.ini
 http://dl.hao318.com/dl/mspalnt2.ini
 http://dl.hao318.com/dl/mspalnt3.ini


2. DLL本体会复制到系统目录(%SYSTEMDIR%). 驱动则被复制到驱动目录(%SYSTEMDIR%\Drivers\)

3. 创建注册表项
 HKEY_LOCAL_MACHINE\Software\wsword
 HKEY_LOCAL_MACHINE\Software\mspalnt
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
 添加数据为%SYSTEMDIR%\Rundll32.exe "%SYSTEMDIR%\[随机文件名].DLL",DllCanUnloadNow
           %SYSTEMDIR%\Rundll32.exe "%SYSTEMDIR%\[随机文件名].DLL",DllUnregisterServer

4. 会安装驱动进行自我保护

 针对“my123”流氓软件（病毒），瑞星将推出“my123专杀工具”，并将其集成在卡卡3.0之中，供网民免费下载（http://tool.ikaka.com）。已经安装了瑞星卡卡的用户，可以点击“立即升级”按钮升级到最新版本，然后利用其集成的“my123专杀工具”对其进行彻底查杀。

文章来自: 转载
引用通告地址: http://www.wantfly.cn/trackback.asp?tbID=275
Tags: