“my123”侵入用户电脑之后,会把浏览器的首页修改成“my123.com”,由于采用了Rootkit技术,很多反流氓软件工具及杀毒软件难以彻底清除。与原有的流氓软件不同,它在技术上全面向病毒靠拢:采用Rootkit技术、随机更改驱动名称,对自身进程及文件进行保护;它还会在短时间内频繁升级,有时候一天之内会出现十余个变种,使得很多反流氓软件工具都很难对付。
图 瑞星卡卡第1号反流氓软件追杀令
此前“my123”及其一部分变种已经被列入病毒库,可以被瑞星杀毒软件彻底查杀。而随着卡卡3.0的发布,非瑞星用户也可以采用反病毒技术来清除该流氓软件,这一行动把“my123”制造者逼入了死角,致使其展开疯狂的技术升级与瑞星卡卡对抗。
根据瑞星客户服务中心的调查统计,目前约有5%的上网电脑曾经被该病毒感染,首页被篡改。按照国家相关部门的数据,目前我国有5000万上网电脑,据此测算,已经有大约250万台上网电脑被该病毒感染。
对my123的域名注册、主机托管等信息的分析和技术追踪表明,该流氓软件的受益者是网址导航站点:www.my123.com(IP:218.25.68.146),www.my123.com的ICP证信息为虚假信息(粤ICP备06012658号),而释放流氓软件和病毒的母体域名是dl.hao318.com(IP:218.25.68.146),和受益网站为同一IP地址,该网站主机托管于辽宁沈阳某机房。
瑞星已将该网站所有人姓名和居住地等信息通报给公安部门,根据我国法律,病毒制造者将被判处7年以下有期徒刑。
针对“my123”流氓软件(病毒),瑞星将推出“my123专杀工具”,并将其集成在卡卡3.0之中,供网民免费下载(http://tool.ikaka.com)。已经安装了瑞星卡卡的用户,可以点击“立即升级”按钮升级到最新版本,然后利用其集成的“my123专杀工具”对其进行彻底查杀。
流氓软件My123分析报告
恶意程序My123
这是一个使用[C ]编写的,使用驱动保护的恶意程序。系统被感染后,打开IE或者其他浏览器起始页面被篡改为http://***.my123.com/。通过其他恶意程序或者自身下载升级下载并得到执行。
该程序修改IE起始页,并使用HOOK技术,导致Start Page内容无法正确读取,使用随机文件名达到屏蔽文件名清除模式。
1. 恶意软件的升级
首先下下载升级内容,然后从升级配置中获取更进一步的自身升级地址。
http://dl.hao318.com/dl/mspalnt1.ini
http://dl.hao318.com/dl/mspalnt2.ini
http://dl.hao318.com/dl/mspalnt3.ini
2. DLL本体会复制到系统目录(%SYSTEMDIR%)
驱动则被复制到驱动目录(%SYSTEMDIR%\Drivers\)
3. 创建注册表项
HKEY_LOCAL_MACHINE\Software\wsword
HKEY_LOCAL_MACHINE\Software\mspalnt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
添加数据为%SYSTEMDIR%\Rundll32.exe "%SYSTEMDIR%\[随机文件名].DLL",DllCanUnloadNow
%SYSTEMDIR%\Rundll32.exe "%SYSTEMDIR%\[随机文件名].DLL",DllUnregisterServer
4. 会安装驱动进行自我保护
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
