行为极其恶劣的U盘病毒OSO.exe分析与查杀

病毒名：Worm.Pabug.ck
大小：38,132 字节
MD5：2391109c40ccb0f982b86af86cfbc900
加壳方式：FSG2.0
编写语言：Delphi
传播方式：通过移动介质或网页恶意脚本传播

经虚拟机中运行，与脱壳后OD分析结合，其行为如下：

文件创建：
%systemroot%system32gfosdg.exe
%systemroot%system32gfosdg.dll
%systemroot%system32severe.exe
%systemroot%system32driversmpnxyl.exe
%systemroot%system32driversconime.exe
%systemroot%system32hx1.bat
%systemroot%system32 oruns.reg
X:OSO.exe
X:autorun.inf
X指非系统盘符
%systemroot%是环境变量，对于装在C盘的Windows XP系统，默认路径为C:WINDOWS文件夹，以下以此假设进行分析。

创建进程：
%systemroot%system32gfosdg.exe
%systemroot%system32severe.exe
%systemroot%system32driversconime.exe

使用net stop命令，结束可能存在的杀毒软件服务

调用sc.exe，
config [对应服务] start=disabled
禁用这些服务

被结束和禁用的服务包括：
srservice
sharedaccess（此即系统自带防火墙——笔者注）
KVWSC
KVSrvXP
kavsvc
RsRavMon
RsCCenter

其中，在结束瑞星服务的过程中，由于瑞星会弹出提示，病毒作了相应处理：
用FindWindowA函数，捕捉标题为"瑞星提示"的窗口
用FindWindowExA函数，找到其中“是（&Y）”的按钮
用SendMessageA函数向系统发送信息，相当于按下此按钮

【内容导航】
第1页：行为极其恶劣的U盘病毒OSO.exe分析与查杀	第2页：行为极其恶劣的U盘病毒OSO.exe分析与查杀
第3页：行为极其恶劣的U盘病毒OSO.exe分析与查杀	第4页：行为极其恶劣的U盘病毒OSO.exe分析与查杀
第5页：行为极其恶劣的U盘病毒OSO.exe分析与查杀

黑客菜鸟教程之熟知Cookies文件的欺骗[推荐]专家教你如何鉴别防火墙的实际功能差异相关资讯病毒 U盘病毒 OSO.exe

计算机病毒（Virus）是谁发明的？（03/13/2014 08:23:58）
不是所有“病毒”都是病毒：恶意（02/11/2014 09:51:12）
迪士尼：开源软体是病毒（09/03/2012 20:16:48）

美国国家安全局（NSA）准备释放病（03/13/2014 08:17:17）
蠕虫病毒经由Skype传播自动安装勒（10/10/2012 16:06:46）
[图]新病毒删除主引导记录导致系（08/18/2012 10:22:29）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规