pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该样本被执行后,将以挂起方式隐藏启动IE浏览器进程“IEXPLORE.EXE”,申请空间将自身代码写入,“IEXPLORE.EXE”启动后,将复制自身至系统目录“%CommonProgramFiles%\Microsoft Shared\MSINFO\”,并重命名为“Rundl132.exe”,并将自身路径存储至“FieleWay.txt”,修改注册表,将“Rundl132.exe”注册为服务,相关注册表键值如下:
| Quote: | 项:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Runb”
键:“Type”
数据:110
键:“Start”
数据:“02”
键:“ImagePath”
数据:“C:\Program Files\Common Files\Microsoft Shared\MSINFO\Rundl132.exe”
键:“DisplayName”
数据:“Runb”
键:“Description”
数据:“windows” |
|
随后“IEXPLORE.EXE”将读取“FieleWay.txt”获得原样本路径,删除原样本,并复制“Rundl132.exe” 至系统目录“%CommonProgramFiles%\Microsoft Shared\MSINFO\”,重命名为“_Rundl132.exe”。
“IEXPLORE.EXE”将以挂起方式隐藏启动计算器进程“calc.exe”,申请空间将自身代码写入,“calc.exe”启动后,将与“IEXPLORE.EXE”相互守护,作为守护进程存在。
“IEXPLORE.EXE”将定时联网,通过空间“zhou**zhan.3322.org”上读取后门种植者所设置的IP地址和端口号进行反向连接,连接成功后与黑客进行通讯,接受黑客的控制,使被病毒感染主机伦为傀儡主机。
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
