pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
(1)解密自身资源配置文件,创建互斥体,防止多次运行。
(2)判断自身是否为IEXPLORE.exe或She11Res.exe,如果都不是,将自身重命名并复制到%SystemRoot%\She11Res.exe,并设置文件属性为
隐藏。
(3)创建名为"GrayPigeoncn"的服务,并启动,通过服务的方式执行%SystemRoot%\She11Res.exe。
(4)创建iexplore.exe进程并注入,读取并访问解密后的目标网址,连接到黑客主机,完成远程控制。
(5)释放%SystemRoot%\uninstal.bat,创建进程,执行%SystemRoot%\uninstal.bat,删除自身和uninstal.bat。
病毒创建文件:
%SystemRoot%\She11Res.exe
%SystemRoot%\uninstal.bat
病毒删除文件:
%SystemRoot%\uninstal.bat
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeoncn
病毒创建进程:
iexplore.exe
病毒访问网络:
http://shi007.vip2.i****cidc.com/fgz1/ip.txt
http://52****.vicp.net:5818/wwwroot/
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
