pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
(1)解密自身数据,动态加载系统库,获取所需函数,提升自身权限,收集用户计算机信息,创建名为“_AVIRA_21099”的互斥体,防止多次重复运行
(2)创建进程快照查找“outpost.exe”,“zlclient.exe”安全软件进程 如果存在则运行相关代码试图躲避查杀。
(3)获取自身完整路径,比较自身是否为%system32%\sdra64.exe。如果是则检查自身信息是否完整。
(4)如果不是则打开注册表将自身追加到到注册表“userinit.exe”之后启动。并将自身拷贝到%system32%\sdra64.exe,并在该文件尾部随机添加大垃圾数据,试图躲过查杀。获取系统文件ntdll.dll时间属性,并将sdra64.exe设置成该时间属性以及系统隐藏只读属性。
(5)遍历进程,查找并获取winlogon.exe、SVCHOST.EXE、EXPLORER.EXE进程的完整路径等信息,判断是否为所需进程,如果是则向目标进程写入病毒代码,创建远程线程,以保护自身文件及注册表信息不被删除。
(6)创建文件%System32%\lowsec\user.ds,%System32%\lowsec\local.ds以记录病毒配置以及获取到的信息。
(7)删除本地cookie保证用户登陆时重新输入账户密码,控制用户网络,截获用户网络数据包,剪切板内容,比对数据内容截取用户信息。
病毒创建文件:
%system32%\sdra64.exe
%System32%\lowsec\user.ds
%System32%\lowsec\local.ds
病毒修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
原数据:"C:\WINDOWS\system32\userinit.exe"
新数据:"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe"
[ Last edited by pioneer on 2010-3-11 at 16:58 ]
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
