%SystemDriver% 系统所在分区,通常为“C:\”
%SystemRoot% WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings% 用户文档目录,通常为“C:\Documents and Settings”
%Temp% 临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles% 系统程序默认安装目录,通常为:“C:\ProgramFiles”作者: pioneer 时间: 2010-4-2 17:03 病毒分析:
1.创建进程快照遍历进程,查找“360tray.exe”并提升自身权限强制关闭杀软进程。
2.查找文件%SystemRoot%\system32\drivers\beep.sys改变文件属性,改写文件内容并创建服务加载beep.sys恢复SSDT,破坏杀毒软件功能。成功后恢复beep.sys内容。
3.释放文件%Temp%\11212187_res.tmp并将拷贝到%SystemRoot%\system32\RhmttlC.dll更改其时间属性以迷惑被感染机器用户。成功后删除临时文件11212187_res.tmp
4. 加载RhmttlC.dll,创建注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MediaCenter”
并设置如下主要键值
名称:Imagepath
数据:%SystemRoot%\System32\svchost.exe -k krnlsrvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MediaCenter\Parameters
名称:ServiceDll
数据:C:\WINDOWS\system32\RhmttlC.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
名称:krnlsrvc
数据:krnlsrvc
以实现通过进程Svchost.exe加载服务方式自启动,服务显示名称为“MS Media Control Center”服务被描述为“Provides support for media palyer. This service can't be stoped.”以迷惑被感染机器用户。
5. 创建线程删除病毒源文件。
6. RhmttlC.dll插入到Svchost.exe运行后会从指定地址获取远程主机IP,并连接到黑客主机听取命令,任其控制。
