行为恶劣的U盘病毒OSO.exe分析与查杀

行为恶劣的U盘病毒OSO.exe分析与查杀

病毒名：Worm.Pabug.ck
大小：38,132 字节
MD5：2391109c40ccb0f982b86af86cfbc900
加壳方式：FSG2.0
编写语言：Delphi
传播方式：通过移动介质或网页恶意脚本传播


经虚拟机中运行，与脱壳后OD分析结合，其行为如下：

文件创建：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf
X指非系统盘符
%systemroot%是环境变量，对于装在C盘的Windows XP系统，默认路径为C:\WINDOWS文件夹，以下以此假设进行分析。

创建进程：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe

使用net stop命令，结束可能存在的杀毒软件服务

调用sc.exe，
config [对应服务] start=disabled
禁用这些服务

被结束和禁用的服务包括：
srservice
sharedaccess（此即系统自带防火墙——笔者注）
KVWSC
KVSrvXP
kavsvc
RsRavMon
RsCCenter

其中，在结束瑞星服务的过程中，由于瑞星会弹出提示，病毒作了相应处理：
用FindWindowA函数，捕捉标题为"瑞星提示"的窗口
用FindWindowExA函数，找到其中“是(&Y)”的按钮
用SendMessageA函数向系统发送信息，相当于按下此按钮

不错学习学习