pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
1、病毒运行后,将病毒文件的时间改为系统时间,获取当前进程和线程的ID;
2、打开注册表项HKEY_LOCAL_MACHINE\SOFTWARE\WinRAR,查看是否有个子键值“tech1894”,如果有,说明病毒已经在本机运行过,退出自身进程;
3、创建互斥体“tech1894”,防止多个实例运行;
4、在注册表项HKEY_LOCAL_MACHINE\SOFTWARE\WinRAR下创建键值tech1894,作为病毒运行的标记;
5、在D盘下创建目录D:\VolumeDH,然后在该目录下创建文件kisp2011.exe;
6、获取临时文件夹路径%Temp%,在该目录下创建配置文件cdf1912.tmp,里面保存着病毒连接网址和一些配置文件的信息;
7、在%Documents and Settings%\Administrator\Application Data目录下创建空文件A.tmp、B.tmp(随机名);
8、读取cdf1912.tmp的配置信息,删除B.tmp,连接病毒网络http://121.***.142.19:1000/ipv.wav,下载病毒文件到C:\Documents and Settings\Administrator\Application Data目录下并写入B.tmp,然后读取B.tmp的信息,写入A.tmp,然后创建进程运行A.tmp;
9、在D:\VolumeDH目录下创建文件inj.dat,将系统目录下%SystemRoot%\System32\net.exe复制到D:\VolumeDH目录下并重命名为kisp2011.exe;
10、在%Documents and Settings%\Administrator\Application Data下创建文件夹lua,并在该目录下创建批处理文件1.bat、2.bat;
11、查找%Temp%目录下是否存在文件tmp_ext.bat,如果有,则先删除再创建该批处理文件,然后运行该批处理文件,批处理运行后会打开1.bat;
12、在%Temp%目录下创建文件inl19.tmp,然后以隐藏方式运行该文件;
13、将A.tmp复制到D:\VolumeDH目录下并重命名为kisp2011.exe;
14、调用命令行,删除病毒原文件自身;
病毒创建文件:
D:\VolumeDH\kisp2011.exe
%Temp%\cdf1912.tmp
%Documents and Settings%\Administrator\Application Data\A.tmp
%Documents and Settings%\Administrator\Application Data\B.tmp
%Documents and Settings%\Administrator\Application Data\lua\1.bat
%Documents and Settings%\Administrator\Application Data\lua\2.bat
%Temp%\tmp_ext.bat
%Temp%\inl19.tmp
病毒创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\WinRAR
名称:tech1894 数据:tech1894
名称:udate 数据:当前日期
名称:uid 数据:0
名称:uname 数据:system
病毒访问网络:
http://121.***.142.19:1000/ipv.wav
http://download1.***.com.cdn20.com/sxcms.exe
http://setup.***.com/install/pipi_73.exe
http://www.***.com/youbak/software/partner/9010/ddsp1.exe
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
