pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析:
1.该样本伪装成图片图标诱使用户点击,点击运行后比较自身是否为Cryptigrophic.exe,或者已经注入系统进程iexplorer.exe或calc.exe如果是则继续运行。如果不是则将自身拷贝到%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\Cryptigrophic.exe并运行。
2.遍历用户磁盘,并在磁盘根目录下创建AutoRun.inf以及Cryptigrophic.exe并设置为隐藏文件,使用户双击磁盘时便运行病毒文件。
3.查找系统进程如果没有运行则隐藏方式启动系统进程iexplor.exe,calc.exe并将自身写入该进程空间,以注入系统进程。并创建
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\FieleWay.txt以记录自身信息。删除病毒源文件退出进程
4.注入系统进程运行后,等待网络连接,如果网络可用则连接至远程主机,听取命令,本地机器任由黑客控制。
病毒创建文件:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\Cryptigrophic.exe
X:\AutoRun.inf
X:\Cryptigrophic.exe (X为被感染磁盘)
[ Last edited by pioneer on 2010-4-25 at 22:41 ]
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
