|
【原创】“破坏者”病毒变身“QQlive伪装者”再度横扫互联网!
病毒名称:“破坏者”病毒 / “QQlive伪装者”病毒 / “最后之歌”病毒;
病毒类型:破坏性程序病毒;
病毒长度:1,352,631 字节;
病毒 MD5:8f2577766d523e542d8307896a4fd426
危害等级:★★★
感染系统:Windows 系统!
这是个根据“破坏者”病毒的病毒源码改编而成的病毒,也算是“破坏者”病毒的一个变种。该病毒主要通过QQ群共享文件进行传播,伪装《QQlive》网络电视的图标或者伪装成《QQlive》相关影音文件欺骗诱惑其他群成员下载,例如首次发现的“最后之歌.exe”……所以我将它称之为“QQlive伪装者”病毒。
《“QQlive伪装者”病毒》
“QQLive伪装者”病毒可以绕过《卡巴斯基》、《江民杀毒》、《瑞星杀毒》、《迈克菲》等杀毒软件的防御。当病毒运行后,音箱会循环发出一男一女说话的立体声,听起来很渗人。
以下音频是我录制的“QQLive伪装者”病毒运行时发出的说话声,说的什么我也听不懂,谁听出来了跟帖说下是哪国语言。有的网友表示发出的说话声音大意是:“破坏中……”or“破坏者”……
随后,“QQLive伪装者”病毒结束掉《360安全卫士》等安全软件的进程,恶意将系统时间篡改为“”,造成下次重启计算机后跳出“无效的系统时间”的提示框。
“QQLive伪装者”病毒首先会在C盘创建一个名称为“schovt.exe”的病毒程序,并篡改注册表文件关联项值。然后再在“C:\WINDOWS\system32”系统目录下创建“explorer.exe”和“regedit.exe”伪装成了系统文件,并通过修改注册表项值设置禁用一些系统工具。
PS:
如果通过开始菜单-----运行 输入:“regedit.exe”就会运行“C:\WINDOWS\system32”目录下病毒伪装的“regedit.exe”,这样便会重新复燃病毒。为什么运行选择“C:\WINDOWS\system32”目录却不选择“C:\WINDOWS”目录呢?“QQLive伪装者”病毒的作者之所以命令病毒把病毒程序“explorer.exe”和“regedit.exe”伪装在“C:\WINDOWS\system32”系统目录下这个位置,是因为利用了 Windows 系统的运行规则。Windows 在运行一个程序时,默认搜索方式是:“1.应用程序所在目录 =》2.当前工作目录 =》3.系统目录 =》4.Windows目录 =》5.环境变量指定的目录”……看了这个规则我想大家应该都明白了吧。
删除C盘根目录下的系统引导文件“boot.ini”,下令重启计算机。“boot.ini”被删,造成系统下次启动后出现“文件 BOOT.INI 非法”的提示。
继续在C盘根目录下和“C:\Program Files”系统目录下分别创建一个“QQLive.exe”伪装《QQlive》网络电视的主程序。
然后不断将自身复制到每个磁盘分区的根目录下并重命名成“阿拉伯数字.exe”,从“1.exe”到“50499.exe”不限,磁盘空间小刀会造成右下角弹出“磁盘空间低”的提示。
并且我在“QQLive伪装者”病毒复制自身再生成新病毒时的发现了一个规律,是这样的:
新建“1.exe”
新建“10.exe”
新建“2.exe”
新建“21.exe”
新建“3.exe”
新建“32.exe”
新建“4.exe”
新建“43.exe”
新建“5.exe”
新建“54.exe”
……
新建“10.exe”
新建“109.exe”
新建“11.exe”
新建“1110.exe”
新建“12.exe”
新建“1211.exe”
新建“13.exe”
新建“1312.exe”
新建“14.exe”
新建“1413.exe”
新建“15.exe”
新建“1514.exe”
…………
……照这个规律一直创建到“50499.exe”或者更大数字名称的病毒程序,所以名称上所显示的万位数字未必代表真正的个数。
PS:
由于“QQLive.exe”病毒创建的这些病毒程序都是复制自身的,所以程序大小同病毒安装包“最后之歌.exe”一样都是“1.28 MB”。
最后,“QQLive.exe”病毒篡改/破坏系统数百个注册表分支后,下令重启计算机作为“最后致意”!“QQLive.exe”修改/破坏系统注册表项、值的详情请看下文。 | 
免费注册
发表于 2011-10-25 15:09
