pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
(1)创建目录: %SystemDriver%\sa.exe,并设置该目录为只读隐藏属性。
(2)尝试调用cmd.exe,通过taskkill命令强行终止wuauclt.exe进程,接着,病毒将自身主体重命名为wuauclt.exe,拷贝到%SystemRoot%\Fonts\目录下,并执行wuauclt.exe。
(3)载入urlmon.dll动态链接库,获得其导出函数URLDownloadToFileA的实际虚拟地址,调用URLDownloadToFileA函数,从http://cav.***.cx/ps.jpg下载一个名为gern.fon的资源配置文件,主要记录了一些网址信息,并释放到%SystemRoot%\Fonts\目录。
(4)获得gern.fon文件属性,如果文件存在,病毒会创建6个线程,分别完成对应功能。
(5)创建新线程,修改注册表对应的键值,嵌入网址: http://luck114.***.cx/。
(6)创建新线程,修改注册表的Internet Explorer的相关键值,使IE的启动页始终指向网址: http://www. tom****lei.com/。
(7)创建新线程,通过执行iexplore.exe,分别访问http://msm.money****.com/、http://www.****.cn/cf.aspx?1&dayang17196、
http://www.***.cn/cf.aspx?166&dayang1719三个网站。
(8)创建新线程, 枚举当前用户机器中的窗口类,查找是否有聊天类窗口存在,如果找到,自动将网址http://****.com/sex.jpg发送给对方。
(9)创建新线程, 获得URLDownloadToFileA的实际虚拟地址,访问网址http://tec.***.tk/a.gif并下载新文件到本地,然后获得下载下来的文件属性,如果存在,将释放%SystemRoot%\Fonts\SVCHOST.exe,并执行。
(10)创建新线程,在%SystemRoot%\Tasks目录下新建一个explorer.exe,每隔一段时间执行explorer.exe访问网址 http://tec.***.tk/a.css,下载新病毒到本地机器。
(11)修改注册表相关键值,使其自动运行%SystemRoot%\Fonts\wuauclt.exe。
(12)病毒通过调用cmd /c del命令删除自身,退出当前进程。
病毒创建文件:
%SystemDriver%\sa.exe
%SystemRoot%\Fonts\wuauclt.exe
%SystemRoot%\Fonts\gern.fon
%SystemRoot%\Fonts\SVCHOST.exe
%SystemRoot%\Tasks\explorer.exe
病毒创建注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run\360safe
病毒修改注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\StartPage
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
病毒创建进程:
wuauclt.exe
SVCHOST.exe
病毒访问网络:
http://cav.***.cx/ps.jpg
http://luck114.***.cx/
http://www.tom****lei.com/
http://msm.money****.com/
http://www.****.cn/cf.aspx?1&dayang17196
http://www.***.cn/cf.aspx?166&dayang1719
http://****.com/sex.jpg
http://tec.***.tk/a.gif
http://tec.***.tk/a.css
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
