本帖最后由 明镜星空 于 2012-1-12 12:23 编辑
美杜莎病毒是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行欺骗而达到获取自身利益为目的的病毒。
图1.美杜莎病毒伪装成照片的QQ文件
一.美杜莎病毒传播途径
美杜莎病毒最常见的传播渠道就是通过QQ发送文件,这种文件大小只有几百KB。
病毒作者会利用人的欲望和好奇心,将病毒命名为“我的照片”“性感相册”等名字,引诱网友接收文件传输,一旦网友打开含有美杜莎病毒的文件,电脑就会中招。
二. 美杜莎病毒的危害
1、美杜莎病毒本质上是一个远程控制后门,首次打开含有病毒的文件,病毒会强制电脑重启;
2、美杜莎病毒运行后将强制修改系统启动项,每次重启电脑后病毒都会被运行。;
3、美杜莎病毒会强制连接网络上存放病毒的服务器,自动下载病毒到中招的电脑;
4、美杜莎病毒还会对中招的电脑进行键盘记录、视频记录、屏幕截图、修改MBR、添加理员账号、执行任意程序等;
5、最终,中招电脑会被黑客完全控制,沦为肉鸡。
三. 美杜莎病毒详细分析
图2:美杜莎病毒有统一的执行流程
1、获取电脑上所有有效驱动盘符的信息,包括盘符的类型、容量大小、文件系统格式,发给远程服务端;
2、截取屏幕图像,发送给远程服务端。
图3 拷贝屏幕像素矩阵内存
3、通过devenum模块提供的接口,收集中毒机器的视频信息,并传回远程服务器端。
图4 创建devenum对象
4、根据远程服务器端发送的命令弹出一个MB_ICONINFORMATION类型的提示框。
5、获取中毒机器前台窗口,并执行键盘记录,并将记录发送给远程服务端。
图5 木马KeyLogger相关字符串
6、使用远程服务端发送的命令和内容来修改中毒机器的MBR,而后调整自身权限使其具有开机权限,最终调用ExitWindowEx实现强制重启。
图6 木马修改MBR
7、使用NetUserAdd在中毒机器上添加一个用户账号,并使用NetLocalGroupAddMembers将其加入到当前用户所在的局域网用户组中;
8、执行一条dos命令“net /c stop sharedaccess”,用于关闭用户的防火墙;
9、执行当前目录下的一个名为"cmd.exe"的应用程序。该功能用来在中毒机器上执行一些扩展的病毒文件;
10、遍历所有正在运行的进程,并遍历获取其中的所有模块的信息。而后将获得的信息发送给服务器端;
13、通过UrlDownloadToFileA,根据服务器端的命令,实现文件下载。
四.美杜莎病毒防御方案:
1、不随意接收好友或者陌生人通过QQ传输的文件。
2、不在不熟悉的网站下载如:“美女图片”“性感图片”等充满诱惑性内容的文件。
3、安装金山毒霸2012并升级到最新版本病毒库,开启文件实时监控,可全面防御此类病毒。
4、如果发现自己中了美杜莎病毒,可以通过官网下载免费的金山急救箱并升级到最新版本进行未知木马清除。
下载地址:http://labs.duba.net/jjx.shtml
5、安装金山毒霸2012升级到最新版本病毒库,进行查杀。
下载地址 http://www.ijinshan.com/duba/
五.美杜莎病毒毒霸拦截效果 
美杜莎病毒分析下载版:
| 
发表于 2012-1-10 19:16:41
