“SCT广告”病毒技术细节【NOD32中国】

危险等级：★★★
病毒名称：AdWare.Win32.SCT.a
截获时间：2007-10-30
入库版本：19.47.11
类型：木马
感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况：
传播级别：低
全球化传播态势：低 / 破坏力：低
破坏手段：下载未知程序

病毒运行后会进行以下操作：

    1.调用OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges函数提升自己权限。
    2.创建一个名字为空的事件，防止进程中有多个病毒实例运行。
    3.在System32路径下释放驱动文件frmwrk.sys，该驱动用来查找并关闭杀毒软件。
    4.删除System32路径下名为frmwrk.exe的文件。
    5.在System32路径下释放文件本身frmwrk.exe，添加以下注册表项实现自启动
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run
System32 = C:\WINDOWS\system32\frmwrk.exe
    6.调用GetSystemDefaultLCID、GetSystemDefaultLangID函数，根据其返回结果判断该
    系统所属区域，如果是以下区域则直接退出：
People's Republic of China、Brazil、Korea、Taiwan、Poland、Thailand、Japan、Turkey、Hong Kong S.A.R.、Mexico。
    7.从以下网址下载网页并存到本机，具体内容如下：
http://downloadxxx.com/index2.php?adv=265  C:\WINDOWS\system32\yahoo.htm
http://downloadxxx.com/index3.php?adv=265  C:\WINDOWS\system32\ google.htm
http://downloadxxx.com/index4.php?adv=265  C:\WINDOWS\system32\ msn.htm
http://downloadxxx.com/index5.php?adv=265  C:\WINDOWS\system32\ sec.htm
http://downloadxxx.com/index5.php?adv=265  C:\WINDOWS\system32\ home.htm
http://spywarexxx.com/load.php?adv=265    C:\WINDOWS\system32\test.uuu
    8.修改以下键值禁用任务管理器、禁止改桌面、禁用选择背景图片或HTML文档作为墙纸等：
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Policies\System
   DisableTaskMgr = 1
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   NoSetActiveDesktop = 1
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Policies\
ActiveDesktop
NoChangingWallpaper = 1
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   NoActiveDesktopChanges = 1
   HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   NoSetActiveDesktop = 1
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Policies\
ActiveDesktop
NoChangingWallpaper = 1
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoActiveDesktopChanges = 1
    9.创建一个叫“—”的窗口，同时进行以下操作

    1)从http://downloadxxx.com/allfile.jpg 网址下载文件存到C:\WINDOWS\system32\
    2)center.exe中并运行该程序；从http://spywarexxx.com/download/265/setup.exe 网址下载文件存到TEMP文件夹中的srsvc.exe中；从http://spywaresoftstop.com/wfdfdghfdghj.htm网址下载文件存到C:\WINDOWS\system32\warn.htm中。
    3)遍历进程查找进程中是否存在SpywareSoftStop.exe、spywaresoftstop.exe、setup.exe、srsvc.exe进程，如果没有则运行TEMP文件夹下的srsvc.exe程序
    4)给用户以下提示：Your computer is infected! It is recommended to start spyware cleaner tool.Warning! Security report

(末)