pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
(1) 释放文件%TEMP%\58377184.tmp,读取该文件资源,开启线程,将自身重命名后复制到%SystemRoot%\360防火墙..........ok
(2) 创建注册表键值,将病毒主程序添加为"Setup",并创建名为"360防火墙..........ok"的服务并启动,通过该服务加载程序%SystemRoot%\360防火墙..........ok。
(3) 查找IE程序路径%ProgramFiles%\Internet Explorer\IEXPLORE.EXE,如果找到,隐式开启傀儡进程IEXPLORE.exe,通过该进程访问网络,连接至黑客主机,使被感染机器沦为傀儡机器,任由黑客控制。
(4) 删除%TEMP%\58377184.tmp和自身,退出进程。
病毒创建文件:
%TEMP%\58377184.tmp
%SystemRoot%\360防火墙..........ok
病毒删除文件:
%TEMP%\58377184.tmp
病毒创建注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup\15638
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360防火墙..........ok
病毒访问网络:
yc**1269.3322.org
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
