pioneer
超级版主
       
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析:
1.该样本伪装成文本文件图标骗取用户点击,点击运行后获取创建目录%Temp%\RarSFX0,并在创建的目录%Temp%\RarSFX0下释放可执行病毒文件以及其配置文件。
PK.BIN、inst.dat、Win32hk.dll、Win32wb.dll、rinst.exe、TASKMAN.EXE、Win32.exe。
2.创建进程加载运行rinst.exe,rinst.exe运行后进而启动其他生成的可执行文件。将%Temp%\RarSFX0目录下生成的文件全部拷贝到%SystemRoot%\system32目录下完成后删除%Temp%\RarSFX0目录下的文件。
3.加载运行%SystemRoot%\system32\Win32.exe修改注册表实现自启动,安装钩子截获用户机器上感兴趣的信息,如Email内容,系统剪切板内容等,并会截取用户屏幕。
病毒创建文件:
%Temp%\RarSFX0\PK.BIN
%Temp%\RarSFX0\inst.dat
%Temp%\RarSFX0\Win32hk.dll
%Temp%\RarSFX0\Win32wb.dll
%Temp%\RarSFX0\rinst.exe
%Temp%\RarSFX0\TASKMAN.EXE
%Temp%\RarSFX0\Win32.exe
%SystemRoot%\System32\PK.BIN
%SystemRoot%\System32\inst.dat
%SystemRoot%\System32\Win32hk.dll
%SystemRoot%\System32\Win32wb.dll
%SystemRoot%\System32\rinst.exe
%SystemRoot%\System32\TASKMAN.EXE
%SystemRoot%\System32\Win32.exe
病毒删除文件:
%Temp%\RarSFX0\PK.BIN
%Temp%\RarSFX0\inst.dat
%Temp%\RarSFX0\Win32hk.dll
%Temp%\RarSFX0\Win32wb.dll
%Temp%\RarSFX0\rinst.exe
%Temp%\RarSFX0\TASKMAN.EXE
%Temp%\RarSFX0\Win32.exe
病毒创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
数据:Win32
值:C:\WINDOWS\system32\Win32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E1B2879-88FF-11D3-8D96-D7ACAC95951A}
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|