pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
(1)创建目录%Documents and Settings%\Local User,并设置该目录为隐藏。
(2)检测注册表中360Safe的相关键值,如果找到,则释放文件%TEMP%\INDEX.EXE,设置该文件属性为隐藏,并执行INDEX.EXE。
执行INDEX.EXE后,该程序会创建一个线程,循环检测当前窗口标题含有360相关关键字的窗口,一旦找到,将其窗口销毁,使用
户不能正常使用360反病毒软件。
(3)设置下次系统重启删除360安装目录下的deepscan目录,释放文件%TEMP%\tmp\360deepscan.exe和%TEMP%\tmp\360wservice.dll,
并将这两个文件复制到360安装目录的deepscan目录下,将病毒代码写入该文件,并将该目录下的deepscan.dll文件设为隐藏。
(4) 解密自身资源,查询注册表键"NetSvcs"对应的服务,如果找到,则创建名为"6to4"的服务,并启动。
(5) 释放动态链接库%Documents and Settings%\Local User\ntuser.dll,设置该文件为隐藏,并通过服务的方式加载该动态链接库。
(6)安装消息钩子,获取用户按键记录,试图盗取用户虚拟财产相关帐号密码信息,并将获取的信息通过网络发送到指定地址。
病毒创建文件:
%TEMP%\INDEX.EXE
[360安装目录]\deepscan\360deepscan.exe
[360安装目录]\deepscan\360wservice.dll
%TEMP%\tmp\360deepscan.exe
%TEMP%\tmp\360wservice.dll
%Documents and Settings%\Local User\ntuser.dll
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrnetControlSet\Services\6to4
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
