MD5：7372C5538AD30691944A9386EA496E01　　病毒名：Win32.Troj.RootKit.a.143360　　病毒类别：下载者　　1.2. 启动项列表　　1.感染ctfmon.　　2.在非系统盘每个文件夹中释放usp10.dll劫持系统dll　　1.3. 释放文件列表　　%windir%\jiocs.dll　　%windir%\Tasks\1　　%tmp%\1696　　%sys32dir%\sadfasdf.jpg　　%sys32dir%\ctfmon.　　二. 样本行为　　2.1 病毒母体　　2.1.1 获取当前进程的PID　　若当前PID小于等于0x0a，退出进程。　　2.1.2 判断创建互斥体　　创建互斥变量为"puuyt"，若此互斥变量存在，则退出进程。　　2.1.3 解密自己数据段释放驱动文件　　解密自己数据段数据释放到%TEMP%目录下，命名为"1696"。　　2.1.4 解密进程名，结束对应进程　　解密得到以下安全软件进程名称　　kavstart. kissvc. kmailmon. kpfw32. kpfwsvc. kwatch.　　ccenter. ras. rstray. rsagent. ravtask. ravstub.　　ravmon. ravmond. avp. 360safebox. 360Safe. Thunder5.　　rfwmain. rfwstub. rfwsrv.　　并调用TerminateProcess将其结束。　　2.1.5 添加对迅雷的映像劫持　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\　　Image File cution Options\Thunder5.　　"Debugger" REG_SZ "svchost."　　使迅雷无法启动。　　2.1.6 释放dll并调用　　解密数据段数据，写入%windir%\jiocs.dll文件，并用rundll32.加载jiocs.dll导出函数"EnumPageFile"。　　获取"safeboxTray."文件路径，将解密数据段数据写入"safeboxTray."目录下的psapi.dll(和jiocs.dll相同)。　　2.1.7 调用360保险箱卸载参数　　遍历当前进程，发现存在"safeboxTray."进程，获取其文件路径，并以"/u"参数打开"safeboxTray."进程，"/u"参数是其自带的卸载参数。　　删除psapi.dll文件。　　2.1.8 修改注册表关闭360监控　　HKLM\SOFTWARE\360Safe\safemon　　"MonAccess" REG_DWORD 0　　"SiteAccess" REG_DWORD 0　　"cAccess" REG_DWORD 0　　"ARPAccess" REG_DWORD 0　　"weeken" REG_DWORD 0　　"IEProtAccess" REG_DWORD 0　　"LeakShowed" REG_DWORD 0　　"UDiskAccess" REG_DWORD 0　　使360实时监控失效。　　2.1.9 解密数据释放文件"1"　　解密数据段数据，释放文件%windir%\tasks\1(就是伪usp10.dll)。　　2.1.10 创建线程拷贝伪usp10.dll　　遍历非系统所在目录的所有驱动器，凡发现目录中存在后缀的文件，则将%windir%\tasks\1文件拷贝过去，命名为usp10.dll。　　2.1.11 创建线程关闭窗口和更改显示隐藏文件　　若当前窗口的class为"AfxControlBar42s"，则向此窗口发送WM_CLOSE消息，并模拟键盘的回车键。　　修改以下注册表键值，来不显示隐藏文件　　HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced　　"Hidden" REG_DWORD 0　　"SuperHidden" REG_DWORD 0　　"ShowSuperHidden" REG_DWORD 0　　2.1.12 创建线程来关闭cmd.　　枚举当前进程，发现有cmd.进程则调用TerminateProcess将其结束。　　2.1.13 创建线程来下载盗号器并将其运行　　解密数据段，释放随机名文件a.dll到%TEMP%目录下。解密网址hxxp:// *** /oo.txt，下载oo.txt保存在%sys32dir%\sadfasdf.jpg，读取里面小马网址，并调用a.dll的导出函数Winext来运行小马。　　2.1.14 发送本机信息　　获取本机MAC地址，下载器的版本号，发送到"hxxp://tongji.ombb888.cn/ct/getmac.asp?x=0F-00-00-00-00-00&y=a1&t=400641"　　2.1.15 获取本机是否装 *** ，并发送信息　　遍历进程发现qq.则发送　　"hxxp://tongji1.ac5566.cn/getmac.asp?x=0F-00-00-00-00-00&y=a1&t=I *** S"　　2.1.16 下载替换HOSTS文件　　下载hxxp:// *** /ad.jpg，保存到%sys32dir%\drivers\ect\hosts文件　　2.1.17 下载母体自更新