病毒介紹
\馬吉斯”又名為Magistr.24876、W32/Magistr@MM、PE_MAG?ISTR.A、W32.Magistr.24876,I-Worm.Magistr,能夠感染WIN95/98/ME系統,並且具有既是病毒又具有蠕蟲的特性,與以往眾多的病毒通過郵件方式傳播有所不同,“馬吉斯”除了以電子郵件附屬檔案形式傳播,還可以以複製檔案形式傳播。病毒會自動搜尋Outlook和Netscape信箱中的地址簿,並將所有地址保存在Windows目錄下Username.Dat檔案中,其中Username是機器名。安全專家同時指出,“馬吉斯”首先爆發在歐洲,我國用戶尚有一定的時間做好預防工作,但由於其具有利用電子郵件自動寄出的特性,不可掉以輕心。對付“馬吉斯”可使用KILL防毒軟體。(
病毒源檔案流程:
DLL流程
DLL被裝載時:
1、獲得系統sfc.dll中的SfcIsFileProtected函式地址,以便在感染時調用以防止感染受系統保護的檔案。
2、獲取系統的linkinfo.dll(%system32%目錄下)的下列導出函式,使自己導出的同名函式指向正常的linkinfo.dll中正確的函式,以便轉接這些函式。
ResolveLinkInfoW
ResolveLinkInfoA
IsValidLinkInfo
GetLinkInfoData
GetCanonicalPathInfoW
GetCanonicalPathInfoA
DisconnectLinkInfo
DestroyLinkInfo
CreateLinkInfoW
CreateLinkInfoA
CompareLinkInfoVolumes
CompareLinkInfoReferents
3、檢查自己是否在explorer.exe進程中,如不是則啟動病毒主執行緒。
4、啟動病毒主執行緒
病毒首先通過VMWare後門指令檢查是否是在VMWare下運行,如果是直接重啟機器,以此來防止自己在虛擬機中被運行。
生成名稱為"PNP#DMUTEX#1#DL5"的互斥量,以保證只有一個實例在運行。
然後開始啟動各工作執行緒
5、工作執行緒1(生成視窗和訊息循環)
生成隱藏的視窗和訊息循環,並通過調用RegisterDeviceNotificationA註冊設備通知訊息,當發現插入可移動磁碟時,向可移動磁碟寫入病毒源boot.exe。
6、工作執行緒2(遍歷並感染所有磁碟)
從"C:\"開始感染所有磁碟中後綴名為"exe"的檔案。
病毒在感染時,不感染"QQ"、"winnt"和"windows"目錄下的程式檔案,並通過調用SfcIsFileProtected來檢查是否為系統檔案,如是則不感染。
同時,病毒不感染以下程式:
wooolcfg.exe
woool.exe
ztconfig.exe
patchupdate.exe
trojankiller.exe
xy2player.exe
flyff.exe
xy2.exe
大話西遊.exe
au_unins_web.exe
cabal.exe
cabalmain9x.exe
cabalmain.exe
meteor.exe
patcher.exe
mjonline.exe
config.exe
zuonline.exe
userpic.exe
main.exe
DK2.exe
autoupdate.exe
dbfsupdate.exe
asktao.exe
sealspeed.exe
xlqy2.exe
game.exe
wb-service.exe
nbt-dragonraja2006.exe
dragonraja.exe
mhclient-connect.exe
hs.exe
mts.exe
gc.exe
zfs.exe
neuz.exe
maplestory.exe
nsstarter.exe
nmcosrv.exe
ca.exe
nmservice.exe
kartrider.exe
audition.exe
zhengtu.exe