pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1.木马首先查找自身进程,提高自身进程权限;
2.将%SystemRoot%\system32目录下的cmd.exe和taskmgr.exe复制到%Temp%目录下;
3、创建进程cmd.exe,调用cmd命令打开进程管理器taskmgr.exe;
4.在%SystemRoot%\system32目录下创建动态库文件msnsock.dll和系统现在时间.dll(例如201009141423.dll),建立cmd.exe的远端进程,将动态库文件注入cmd.exe进程,以加载该动态库;
5、在%SystemRoot%\system32目录下创建动态库文件msatl.dll;
6、建立进程快照,遍历进程查找game.exe和wow.exe,找到则结束两个游戏进程;
7、动态库加载后,创建消息钩子,盗取用户游戏帐号和密码,发送到黑客指定网址;
8、调用cmd命令自删除;
病毒创建文件:
%Temp%\cmd.exe
%Temp%\msatl.dll
%SystemRoot%\system32\msnsock.dll
%SystemRoot%\system32\系统当前时间.dll
%SystemRoot%\system32\msatl.dll
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|