pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析:
1.病毒创建名称为" MINISERVSS "的互斥量,防止多次运行。
2.病毒获得临时文件路径,将病毒本身拷贝到临时文件目录下并重新命名为 “C:\DOCUME~1\当前用户\LOCALS~1\Temp\winsvchosts.exe” ,然后通过ShellExecuteA命令执行之。
3.“winsvchosts.exe”文件建立注册表项,注册表信息为:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
名称:WinUpdate
数据:C:\DOCUME~1\当前用户\LOCALS~1\Temp\winsvchosts.exe
以便病毒达到自启动的目的
4.病毒通过字符串解密算法找到连接网络IP和端口号,然后通过网络socket , connect ,send,recv等函数API,连接网络获取IP地址,连接主机,等待黑客的下一步指令。
病毒创建文件:
%Temp%\winsvchosts.exe
病毒创建注册表:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
名称:WinUpdate
数据:C:\DOCUME~1\当前用户\LOCALS~1\Temp\winsvchosts.exe
病毒访问网络:
down54.3****2.org:520
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|