%SystemDriver% 系统所在分区,通常为“C:\”
%SystemRoot% WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings% 用户文档目录,通常为“C:\Documents and Settings”
%Temp% 临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles% 系统程序默认安装目录,通常为:“C:\ProgramFiles”作者: pioneer 时间: 2010-5-7 18:13 病毒分析:
1.该样本伪装成图片图标形式,骗取用户点击。运行后比较自身是否为%SystemRoot%\panzerfive.exe,如果是则继续执行,如果不是则在%temp%目录下释放临时文件ceh3.tmp(文件名随机).并加载运行,在%SystemRoot%目录释放病毒文件lpk.dll文件以及lpkreal.dll,lpkbackup.dll。创建进程启动panzerfive.exe。
2.panzerfive.exe运行后创建%SystemRoot%\ppstream.dat记录自身信息。释放病毒文件%SystemRoot%\TestDll.dll。并利用rundll32.exe
加载运行,设置全局钩子,查找用户QQ登陆窗口获取帐户密码信息,提交到指定网址。并会从指定网址下载新的病毒木马到本地运行
3.lpk.dll会跟随%SystemRoot%目录下的程序(如explorer.exe)一起启动,lpk.dll每次被加载运行会查找%SystemRoot%目录下是否有leass.exe,smess.exe,panzerfive.exe文件存在存在,如果找到则运行,导到系统出现大量进程,系统运行缓慢。并可能弹出“your computer has been break”字样对话框。
4.删除病毒源文件,退出自身进程。
