病毒名称

Trojan-Downloader.Win32.EDog.h

捕获时间

2007-11-28

病毒症状

      该病毒是一个使用汇编语言编写的下载者程序，程序未经过加壳，长度44,544 字节，图标为具有一定诱惑力的电子狗玩具状图标，病毒扩展名为exe，主要通过ARP欺骗方式进行会话劫持大规模传播。

病毒分析

      该样本程序被执行后首先在%SystemRoot%\system32\drivers目录下释放驱动文件pcihdd.sys，调用SCM写注册表将该文件注册成为服务名为“PciHdd”的内核驱动服务，通过使用StartServiceA函数启动被注册的内核驱动服务，当驱动被加载到系统内核空间后调用相关API函数将所释放的驱动删除。
病毒驱动被加载后通过访问设备对象PhysicalHardDisk0并判断主DOS分区是否被激活，如果被激活直接访问物理磁盘打开%SystemRoot%\system32\目录下userinit.exe文件，调用驱动操作物理硬盘改写系统用户模式引导文件userinit.exe。

      当计算机重启后，userinit.exe通过默认注册表启动项在winlogon.exe初始化完毕后加载，创建explorer.exe进程初始化桌面环境后直接读取下载列表下载其他的病毒和木马程序。
感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、下载器下载、ARP欺骗