pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
(1) 查找名为"145sf5"的服务是否存在,如果存在,启动该服务。
(2) 获得当前进程快照,查找进程"avp.exe、kavsvc.exe、Ravmon.exe、RavmonD.exe",如果存在,尝试终止目标进程,并停止对应的服
务。
(3) 查找名为"wscsvc"服务,找到并停止该服务。
(4) 将病毒自身复制到%SystemRoot%\system32目录下,创建名为"145sf5"的服务,并启动,通过该服务加载病毒。
(5) 访问网络,连接到黑客主机,使用户机器沦为傀儡机器,任由黑客控制。
(6) 提升自身权限,获得进程列表,查找进程"explorer.exe"是否存在,如果找到,则开启新进程执行
%SystemRoot%\system32\SVCHOST.exe,并注入到该进程,通过svchost.exe连接到黑客指定网址下载木马到本地运行。
(7) 删除自身,退出进程。
病毒创建文件:
%SystemRoot%\System32\[病毒主程序名]
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\145sf5
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Autho
rizedApplications\List\[%SystemRoot%\System32\病毒主程序名]
病毒访问网络:
ycn.8***.org
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
