pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
(1)创建互斥体,防止多次运行。
(2)创建线程,获得当前进程快照,查找并终止进程ctfmon.exe。
(3)将%SystemRoot%\system32\ctfmon.exe复制到%SystemRoot%\system32\wins\svchost.exe,执
行%SystemRoot%\system32\wins\svchost.exe,完成后,删除文件%SystemRoot%\system32\ctfmon.exe。
(4)在病毒主程序同目录下创建名为delrunme.bat的批处理并执行,将病毒自身重命名复制到%SystemRoot%\system32\ctfmon.exe
和%SystemRoot%\system32\dllcache\ctfmon.exe, 完成后,删除自身并执行%SystemRoot%\system32\ctfmon.exe。
(5)创建线程,检查当前窗口文本,一旦找到与反病毒相关的关键字,通过消息循环,不断发送退出消息将窗口关闭,终止目标进程,
使用户无法正常使用杀毒软件。
(6)创建线程,遍历所有磁盘文件,查找后缀名为:html、HTML、htm、HTM、asp、aspx、php、jsp的文件,如果找到,插入一段恶意
代码到目标文件,使用户打开目标文件后自动访问黑客指定网址,并且删除所有后缀名为GHO的文件,使用户丢失系统备份数据。
(7)创建线程,访问黑客指定网址,下载病毒重命名后复制到%SystemRoot%\system32\Arp.com执行。
(8) 创建线程,获得被感染机器主机名和IP段,通过执行%SystemRoot%\system32\Arp.com往IP段内其它主机80端口发送恶意代码数据,
使目标主机用户访问网页时被嵌入恶意代码,强迫用户访问黑客指定网址。
(9)创建线程,利用自定义的弱口令列表猜解被感染主机IP段内其它主机的管理员密码,一旦猜解成功,病毒将自身重命名为
hackshen.exe复制到目标主机的各个共享文件夹下并执行,达到网络传播目的。
(10)创建线程,将病毒自身复制到%SystemRoot%\Tasks\绿化.bat,添加到任务计划,每隔一段时间便执行病毒。
(11)创建线程,搜索WinRAR的安装目录,如果找到,遍历磁盘所有格式为RAR、Zip、tgz、cab、tar的压缩文件,通过调用Rar.exe程序将目标压缩包解压,将病毒程序“绿化.bat”复制到解压出的文件夹,之后再压缩回去,完成将病毒添加到压缩包的功能。
(12)创建线程,从病毒作者指定网址下载一个木马服务端程序到本地的%TEMP%\HhGaxAI9th.pif(文件名随机生成),并执行,使被感主
机伦为傀儡机器,任由黑客控制。
(13)删除注册表相关键值,使用户无法进入安全模式。
病毒创建文件:
%SystemRoot%\system32\wins\svchost.exe
X:\delrunme.bat (X为病毒主程序目录)
%SystemRoot%\system32\ctfmon.exe
%SystemRoot%\system32\dllcache\ctfmon.exe
%SystemRoot%\system32\Arp.com
%SystemRoot%\Tasks\绿化.bat
%TEMP%\HhGaxAI9th.pif
病毒删除文件:
%SystemRoot%\system32\ctfmon.exe
病毒删除注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt
病毒访问网络:
http://www.hack***j.cn/muma.htm
http://www.hack**j.cn/wincap.exe
http://www.hack**j.cn/arp.exe
http://www.hack***j.cn/server.exe
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
