金山首度公布"猫癣"病毒完整分析报告

    一、现象描述：

    1. 感染“猫癣下载器”的电脑速度会明显变慢，杀毒软件反复提示发现病毒不能完全清除；

    2. 非系统盘的可执行文件文件目录发现“usp10.dll”文件；

    3. 部分用户的电脑感染猫癣下载器会出现弹出大量广告页面、“QQ医生”扫描功能无法正常使用，迅雷不能正常使用等各种症状；

    4. 部分用户查毒以后将导致输入法无法正常使用；

    5. QQ，网游游戏账号被盗。

    二、行为描述：

    1、对抗安全软件

    1) 病毒通过给进程照相对比的方式找到以下软件的进程然后调用Windows TerminateProcess函数尝试将其结束。病毒作者未测试方案可行性，目前具有自保护功能的杀毒软件（比如毒霸）此方法无效。

    kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
    ccenter.exe ras.exe  rstray.exe rsagent.exe ravtask.exe ravstub.exe
    ravmon.exe ravmond.exe avp.exe  360safebox.exe 360Safe.exe Thunder5.exe
    rfwmain.exe rfwstub.exe rfwsrv.exe

    2） 调用360保险箱自带卸载参数卸载保险箱，并修改注册表关闭360安全卫士的实时监控

    遍历当前进程，发现存在"safeboxTray.exe"进程，获取其文件路径，并以"/u"参数打开"safeboxTray.exe"进程，"/u"参数是其自带的卸载参数。

    修改注册表

    KLM\\SOFTWARE\\360Safe\\safemon
    "MonAccess"  REG_DWORD  0
    "SiteAccess"    REG_DWORD  0
    "ExecAccess" REG_DWORD  0
    "ARPAccess"  REG_DWORD  0
    "weeken"  REG_DWORD  0
    "IEProtAccess" REG_DWORD  0
    "LeakShowed" REG_DWORD  0
    "UDiskAccess" REG_DWORD  0

    3） 创建线程关闭icesword之类的安全软件的窗口

    病毒检查当前窗口的class（类）是否为"AfxControlBar42s"，如果是则向此窗口发送WM_CLOSE（关闭消息）消息，并模拟键盘的回车键点击“是”。