pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该木马程序被执行后,通过查找注册表确定IEXPLORE.EXE所在路径,之后开启“IEXPLORE.EXE”进程访问网站“http://www.baiduuo.cn/123/xx.htm”,间隔10000ms后将进程关闭;拷贝自身到C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录下,以达到随机自启动的目的;在目录%temp%目录下释放驱动“~**.tmp”,修改文件属性为隐藏、系统;调用SCM写注册表项将“~**.tmp”注册成名为“sys_flt”的服务,通过相关函数启动被注册的服务加载驱动,加载成功后使用API函数DeleteFileA将驱动文件“~**.tmp”删除,使用相关API函数将服务“sys_flt”注册表项删除;
| Quote: | 项:HKLM\SYSTEM\CurrentControlSet\Services\sys_flt\
键值:DisplayName
指向数据:sys_flt
项:HKLM\SYSTEM\CurrentControlSet\Services\sys_flt\
键值:ImagePath
指向文件:\??\%Temp%\~**.tmp
项:HKLM\SYSTEM\CurrentControlSet\Services\sys_flt\
键值:Start
指向数据:03 |
|
驱动加载后创建磁盘设备“\Device\yyy2”,创建目录对象“\Device\zzz”,通过函数DeviceIoControl调用相关控制码得到主DOS分区信息并获取设备号后关闭句柄;打开设备“\Device\yyy2”通过DeviceIoControl传递自身控制码8000F800访问物理磁盘,利用CopyFileA函数将启动组中的病毒文件拷贝到“\\.\yyy2”中,以达到突破还原卡的目的;病毒访问恶意网站下载其他病毒程序并运行;遍历盘符在各分区和移动存储介质中释放隐藏病毒文件“Setup.exe”和“autourn.inf”,使用Windows自动播放功能来传播病毒。
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
