pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
(1) 、创建互斥体,防止多次运行,病毒主程序通过调用rundll32.exe,释放病毒其他dll文件。
(2) 、在%Systemroot%system32目录释放病毒文件t329151.dll,通过调用相关的API函数提升访问SeDebugPrivilege权限。
(3) 、该DLL插入到“explorer.exe”等进程中,加载运行,并在被感染计算机系统的后台执行恶意操作防止被用户发现、被安全软件查杀。
(4) 、在%Temp%目录释放文件~~202dcb~~~,安装系统钩子以获取用户密码。
(5) 、遍历进程,命令行方式启动rpcss.dll将自身注册为服务启动。
(6) 、看自身是否已注入WOW模块运行,如果成功则获取魔兽世界游戏玩家等信息发送到指定网址
病毒创建文件:
%Systemroot%system32\t329151.dll
%Systemroot%system32\rpcss.dll
%Temp%~~202dcb~~~(随机名)
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\ObjectName
病毒访问网络:
http:// g1.worrw***11.cn.
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
