pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析:
1.该文件通过遍历窗口查看是否有窗口类名为"____AVP.Root" ,"AVP.Tray"的窗口信息,如果存在,就修改用户当前系统时间,使用户安装的杀软失效。如果不存在,继续往下执行。
2.先删除"C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo2.dll"文件,查找"C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo2.dll "文件是否存在,如果不存在,就在该目录下创建"C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo2.dll"系统隐藏属性文件,并加载之。创建窗口名称为"ZXY_ExeWL",类名为"ListBox"的窗口机制,进行消息窗口通信,然后以参数"JmpHookOn"和"JmpHookOff"形式,建立全局的键盘和鼠标钩子,盗取用户信息和帐号。
3.加载"SysInfo2.dll"成功后,比较是否是"Explorer.Exe"启动该文件,如果是,在系统目录下"C:\WINDOWS\System32\VerCLSID.bak"和"C:\WINDOWS\System32\VerCLSID.exe"存在该文件,将这些文件重新命名为"wininit.ini"文件。如果不是,判断"ElementClient.exe" ,"asktao.mod","woool.dat","woool88.dat","KartRider.exe"是否这些文件加载"SysInfo2.dll"文件,如果是遍历窗口查看是否有"ZXY_ExeWL",类名为"ListBox"的窗口信息,如果有,建立线程函数,进行窗口消息机制通信。盗取用户游戏帐号,以及游戏金币。
4.创建注册表信息:目的是便于该文件的下一次运行自启动。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ {729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}
5. HKEY_CLASSES_ROOT\CLSID\{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}\InProcServer32
名称:
数据:C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo2.dll
HKEY_CLASSES_ROOT\CLSID\{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}\InProcServer32
名称:ThreadingModel
数据:Apartment
6.建立批处理文件"C:\XR.bat",并以外部命令ShellExecuteA,执行之。目的是删除该样本本身以及批处理自己。
病毒创建文件:
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\SysInfo2.dll
%SystemDriver%\XR.bat
病毒创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ {729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}
HKEY_CLASSES_ROOT\CLSID\{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}\InProcServer32
名称:
数据:C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo2.dll
HKEY_CLASSES_ROOT\CLSID\{729B6C61-BDC5-4C09-A1DE-A296BA0B89EC}\InProcServer32
名称:ThreadingModel
数据:Apartment
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|