pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该样本程序被执行后,将尝试删除目录“%SystemRoot%\system32\”下的“verclsid.exe”文件,同时释放其动态库文件“sysff111.dll”。
修改注册表,使进程“explorer.exe”以及由其启动的进程启动后自动加载动态库文件“sysff111.dll”,相关注册表如下:
| Quote: | 键:“HKEY_CLASSES_ROOT\CLSID\{3FDEB171-8F86-0005-0001-69B8DB553683}\InProcServer32”
值:“@”
数据:“C:\WINDOWS\system32\sysff111.dll”
键:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks”
值:“{3FDEB171-8F86-0005-0001-69B8DB553683}”
数据:“空”
|
|
动态库文件“sysff111.dll”加载后,将遍历系统当前进程查找“pol.exe”,找到后将其结束,诱使用户再次登陆游戏,通过全局钩子试图将动态库“sysff111.dll”注入到所有进程中,查找游戏登陆窗口通过监视“WH_GETMESSAGE”、“ WH_KEYBOARD”类型消息,来获取网络游戏的“帐号”、“密码”,尝试将木马所盗取信息按照格式“&zhuji= &qu= &ser= &user= &pass= &JueSe1= &DengJi1= &JueSe2= &DengJi2= &JueSe3= &DengJi3= &myip= ”保存至“%SystemDirve%\Log.txt”, 利用“explorer.exe”、“iexplorer.exe”, 通过“收信空间”的方式,发送至“http://p**k.com/FF11/FF11.asp?tomail=com”。
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
