pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析:
1,创建互斥体"setup_fat32sys",判断用户操作系统类型并记录相关信息到注册表。
2,在%temp%目录释放下列病毒文件“MSAPI.DRV”,“MSSYSTEM.DRV”“WINDNSAPI.IME”“MSSETUP.TSK”随后将这些文件都复制到%SystemRoot%\system目录下并删除%temp%目录下的病毒文件。并将自身移动到%temp%目录下,设置在下次重启后删除。
3,打开服务管理器创建服务,以服务方式加载启动“MSSYSTEM.DRV”,创建注册表项实现自启动
4,查找安全软件服务项试图关闭,并注入到系统运行的进程中。。获取用户机器网卡硬盘以及操作系统等信息。并将相关信息保存获取用户即时聊天软件,邮箱帐户如MSN,QQ以及Outlook中的密码信息,查找用户QQ聊天记录信息,并会截获用户的聊天信息。将收集被感染机器用户大量信息保存并发送到指定网络地址。
病毒创建文件:
%SystemRoot%\SYSTEM\MSSETUP.TSK
%SystemRoot%\SYSTEM\WINDNSAPI.IME
%SystemRoot%\SYSTEM\MSSYSTEM.DRV
%SystemRoot%\SYSTEM\MSAPI.DRV
%Temp%\CvXw.lcp
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msSystem
数据:ImagePath
值:\??\C:\WINDOWS\system\MSSYSTEM.DRV
病毒删除文件:
%Temp%\CvXw.lcp
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
