病毒分析報告：流氓軟體3448

這是一個使用[Borland C++]編寫的病毒

系統被感染後，開啟IE或者其他瀏覽器起始頁面被篡改為hxxp://wxw.3448.c0m/。

病毒通過API HOOK自我保護。

通過其他惡意程式或者自身下載升級下載並得到執行，使用隨機檔案名稱達到屏蔽檔案名稱清除模式。

病毒運行後有以下行為：

一、病毒通過修改註冊表Software\microsoft\windows\currentversion\run達到開機自動啟動並執行目的。

病毒主要通過Rundll32.exe載入。

病毒還感染Tencent QQ的TimProxy.dll檔案的匯入表，可以在使用者啟動QQ的時候載入。

載入後使用訊息鉤子注入各進程，並根據進程名做不同的動作。

主要有：

1、HOOK進程API，自我保護。

2、注入在QQ.EXE進程中的，僅做修改註冊表的動作。

3、注入在EXPLORER.EXE進程中的病毒主要做一下動作。

(1)主要破壞註冊表SafeBoot鍵，導致無法進入安全模式。

(2)下載檔案並通過檔案類型更新，運行或者替換HOSTS檔案。

(3)感染Tencent QQ的TimProxy.dll檔案的匯入表。

二、通過Rundll32.exe載入的病毒，會把自己複製到系統目錄(%SYSTEMDIR%)和驅動目錄(%SYSTEMDIR%\Drivers\)。

三、修改註冊表以下索引值：

註冊表鍵：Software\Microsoft\Internet Explorer\Main
資料項目："Start Page"
資料值為："http://www.3448.com"
註冊表鍵：Software\Microsoft\Internet Explorer\Search
資料項目："CustomizeSearch"
資料值為："http://www.3448.com"
註冊表鍵：Software\Microsoft\Internet Explorer\Search
資料項目："SearchAssistant"
資料值為："http://www.3448.com"

四、搜尋進程名或者視窗文字包含以下字串的進程，發現後關閉電腦。

hsreg.exe
xiufuhosts
hs.exe
yaass
filemon
regmon
wopticlean
4199_9505
4199 9505
41999505
95054199
9505專殺
刪除9505
4199.com/9505.com
kickthemout
流氓軟體清除
system repair
btbaicai.com
wopticlean
icesword
3448專殺
清除3448
刪除3448
3448病毒
unlocker
killbox
hijack
ollydbg
ewido anti-spyware
檔案尋找 1.0
黃山IE
瑞星卡卡
安全衛士