pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
(1) 创建互斥体,防止多次运行。
(2) 将自身重命名复制到%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\R_Server.exe,并设置该文件属性为隐藏。
(3) 创建名为"Bm_Server_2009"的服务,通过该服务加载R_Server.exe。
(4) 创建新进程,通过调用%ProgramFiles%\Internet Explorer\IEXPLORE.EXE访问网络,连接至黑客主机,任由黑客控制被感染电脑。
(5) 创建批处理文件%SystemRoot%\system32\Deleteme.bat,并执行。删除病毒自身和Deleteme.bat,退出进程。
病毒创建文件:
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\R_Server.exe
%SystemRoot%\system32\Deleteme.bat
病毒删除文件:
%SystemRoot%\system32\Deleteme.bat
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Bm_Server_2009
病毒访问网络:
Gei***20.3322.org
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
