pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
1,创建进程快照 查找卡巴进程Avp.exe如果存在就打开该进程,强制关闭。提升自身权限,尝试打开病毒执行过中生成的管道,如果失败,就将%SystemRoot%\system32\wmitpfs.dll重命名为%SystemRoot%\system32\1223531.tmp,并设置%SystemRoot%\system32\1223531.tmp下次重启后删除,1223531为随机名字
2,释放病毒文件%SystemRoot%\system32\wmitpfs.dll
3,更改注册表实现程自启动,实现自启动
4,打开系统服务,调用系统进程“svchost.exe”,利用参数“-k wmitpfs”隐式启动病毒文件
5,创建进程快照 监视感染机QQ运行状态,如果存在“qq.exe”就强制关闭,创建进程快照查找“explorer.exe”并注入到该进程。建立钩子获取用户帐户密码信息。隐式打开网络,获取QQ帐户相关信息。将以上信息通过固定方式发送到指定网址。
6, 建立批处理删除病毒源文件,退出进程。
病毒创建文件:
%SystemRoot%\system32\wmitpfs.dll
%SystemRoot%\system32\1223531.tmp
病毒创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\wmitpfs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wmitpfs
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
