金山云安全中心首度公布“猫癣”病毒完整分析报告

【51CTO.com 综合消息】

一、现象描述：

◆感染“猫癣下载器”的电脑速度会明显变慢，杀毒软件反复提示发现病毒不能完全清除

◆ 非系统盘的可执行文件文件目录发现“usp10.dll”文件

◆部分用户的电脑感染猫癣下载器会出现弹出大量广告页面、“QQ医生”扫描功能无法正常使用，迅雷不能正常使用等各种症状，

◆部分用户查毒以后将导致输入法无法正常使用

◆QQ，网游游戏账号被盗

二、行为描述：

1、对抗安全软件

1) 病毒通过给进程照相对比的方式找到以下软件的进程然后调用windows TerminateProcess函数尝试将其结束。病毒作者未测试方案可行性，目前具有自保护功能的杀毒软件（比如毒霸）此方法无效。

kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe

ccenter.exe ras.exe  rstray.exe rsagent.exe ravtask.exe ravstub.exe

ravmon.exe ravmond.exe avp.exe  360safebox.exe 360Safe.exe Thunder5.exe

rfwmain.exe rfwstub.exe rfwsrv.exe

2） 调用360保险箱自带卸载参数卸载保险箱，并修改注册表关闭360安全卫士的实时监控遍历当前进程，发现存在"safeboxTray.exe"进程，获取其文件路径，并以"/u"参数打开"safeboxTray.exe"进程，"/u"参数是其自带的卸载参数。

修改注册表

HKLM\SOFTWARE\360Safe\safemon

"MonAccess"     REG_DWORD       0

"SiteAccess"    REG_DWORD       0

"ExecAccess"    REG_DWORD       0

"ARPAccess"     REG_DWORD       0

"weeken"        REG_DWORD       0

"IEProtAccess"  REG_DWORD       0

"LeakShowed"    REG_DWORD       0

"UDiskAccess"   REG_DWORD       0

3） 创建线程关闭icesword之类的安全软件的窗口

病毒检查当前窗口的class（类）是否为"AfxControlBar42s"，如果是则向此窗口发送WM_CLOSE（关闭消息）消息，并模拟键盘的回车键点击“是”。

2、破坏系统设置

1) 替换下载并替换HOSTS文件，从而屏蔽竞争对手的木马下载域名

下载http://txt.naiws.com/ad.jpg，保存到%sys32dir%\drivers\ect\hosts文件

2） 更改显示隐藏文件，使得病毒释放的部分文件不被用户发现

修改以下注册表键值，来隐藏文件

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

"Hidden"            REG_DWORD       0

"SuperHidden"       REG_DWORD       0

"ShowSuperHidden"   REG_DWORD       0

3） 添加对迅雷的映像劫持（IFEO）,感染后不能正常使用迅雷

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion

\Image File Execution Options\Thunder5.exe

"Debugger"      REG_SZ      "svchost.exe"

3、病毒不断复活，难以清除

1)     猫癣下载器使用机器狗的穿还原的技术修改ctfmon.exe(此程序用先是当前输入法状态)，若此文件被杀毒软件查杀，则用户不能切换输入法输入中文

2） 猫癣下载器，使用了劫持dll文件的方式，在所有非系统盘的可执行文件所在目录释放大量“usp10.dll”文件，当用户发现电脑“中招以后”即使进行重新安装，却因为这个马甲dll没有被清除导致再度感染

3） 猫癣下载器在局域网中会尝试使用扫荡波（ms08-67）漏洞攻击局域网的用户，若用户没有及时修补扫荡波漏洞将可能反复被感染

4） 由于很多网站安全意识薄弱，恶意代码被轻松植入，猫癣下载器借IE0day漏洞，flashplayer，realpaly，迅雷5,暴风影音，联众世界，微软access漏洞等漏洞在网络广泛传播，用户访问网页的时候就有可能再次感染病毒

4、猫癣下载器给电脑带来的危害

猫癣下载器下载针对魔兽世界、大话西游onlineII、剑侠世界、完美系列游戏、梦幻西游、魔域等十余款热门网游、以及QQ的盗号木马，企图盗窃受害用户网络虚拟财产。

三、防御方案

1、病毒防御方案

1）、更新病毒库、开启实时监控。

金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2009年1月21日的病毒库即可查杀以上病毒，但病毒产业链的从业者会不断更新恶意软件，现在正处于黑色产业和安全厂商竞速的阶段。专家提醒，一定要开启实时监控功能，以降低安全风险。

2）、 使用金山系统清理专家打全补丁，安装金山系统清理专家不会与任何杀毒软件产生冲突，所以非毒霸用户也可以放心下载此软件更新漏洞补丁，特别提醒局域网用户及时安全ms08-67漏洞以防御病毒攻击。特别提醒中毒的用户不要轻易重装系统，因为新装的系统存在大量漏洞，极易再次中毒。

3）、推荐网民安装金山网盾以防止该病毒通过网页恶意代码入侵你的系统。

2、病毒查杀方案：

金山系统急救箱可修复猫癣下载器造成的许多异常。对于没及时更新病毒库或非毒霸用户如果不小心感染此病毒，可以从http://www.duba.net/zhuansha/263.shtml免费下载最新版金山急救箱进行查杀。拨打金山毒霸反病毒急救电话010- 82331816，反病毒专家将为您提供帮助。

因为金山 系统急救箱不是依靠病毒特征查杀的，在使用急救箱修复杀毒软件和系统异常之后，强烈建议使用杀毒软件全面扫描你的系统。

3 特别提醒：

某些下载器会造成用户打不开金山系统急救箱下载页面，用户可以通过搜索其他合作站点的下载地址安装此产品。

其他建议：