pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该样本被执行后,遍历进程查找名字中含有“360” “safebox”“AVP.EXE”的进程,通过ZwDuplicateObject跨进程共享进程句柄,然后结束进程。遍历进程并把进程名字和ID对应保存起来;遍历进程并结束“CTFMON.EXE”进程。在%system32%\Com\目录释放“ie.exe”文件。释放批处理文件“copy2090000.bat”实现自删除和拷贝自身替换%system32% 目录“CTFMON.EXE”,使系统默认加载病毒文件,并运行替换后的ctfmon程序。开启多线程来提升自身“SeDebugPrivilege”权限,执行自身保护和下载。
线程功能如下:
1、调用DuplicateHandle跨进程共享自身文件句柄,使之与系统System进程关联,使其自身文件不能被删除。
2、遍历进程监视系统进程,并结束名字中含有“360”和“safebox”的进程,
3、开启IE链接http://2009.zh****u8.com/1000/update.txt和“update.asp”,下载配置文件到%System32%目录重命名为”b1231469594.dat”,读取其内容修改IE主页设置,并创建IE快捷方式指向病毒网站。检查下载更新的病毒文件。
4.在C盘根目录释放“iexpe.exe”文件。
5.监视注册表的一些项:
HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting
HKLM\SYSTEM\CurrentControlSet\Services\ERSvc
每过1秒设置“ReportBootOk”的为1:
HKLM\SOFTWARE\Microsoft\Windows NT\ ReportBootOk
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
