pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
(1)判断自身是否为%SystemRoot%\explorer.exe,如果是,则执行explorer.exe。
(2)初始化Native Unicode字符串"\BaseNamedObjects\6953EA60-8D5F-4529-8710-42F8ED3E8CDA",获取当前进程列表,查找进程
"avp.exe"是否存在,如果找到,调用DuplicateHandle函数复制该进程句柄,然后通过创建事件对象,更换进程令牌,并且枚举
系统句柄表把avp.exe的运行环境破坏掉,达到终止其进程目的。
(3)提升自身进程权限,创建进程命名管道,分别为:\\.\pipe\TNTH7l38CH41SYSSVC_PIPE、\\.\pipe\QQH7l38CH41_SYSTEM_SVC_PIPE、
\\.\pipe\THH417l_PNTI8CSPE3YSSVC,实现进程简数据共享。
(4)释放动态链接库%SystemRoot%\system32\wmitpfs.dll,并创建名为"wmitpfs"的服务,通过该服务加载wmitpfs.dll。
(5)获得进程快照,查找"QQ 2009"进程是否存在,如果找到,终止该进程,并将%SystemRoot%\system32\wmitpfs.dll注入到
%SystemRoot%\explorer.exe进程。
(6)监视"QQ 2009"登录框的帐号、密码输入及按钮事件,将获得的帐号密码加密后发送到黑客指定网址,完成QQ号的盗取。
(7)释放批处理文件%TEMP%\0.bat并执行,删除自身和0.bat,退出进程。
病毒创建文件:
%SystemRoot%\system32\wmitpfs.dll
%TEMP%\0.bat
病毒删除文件:
%TEMP%\0.bat
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wmitpfs
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
