pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该样本被执行后,将以挂起方式隐藏启动IE浏览器进程“IEXPLORE.EXE”,申请空间将自身代码写入,“IEXPLORE.EXE”启动后,将访问网络地址:
| Quote: | | http://w5**4.nb.*****domain*****up.com/bins/int/9kgen_up.int?fxp=893******9434ef3b2736289e*****daf92a95c8b7d9e1a*****1e58462a62*****9eb47 |
|
站点将返回大量加密数据,“IEXPLORE.EXE”将计算机所在地域信息发送至:
| Quote: | | http://***.host-domain*****up.com/abt?udata=DELAFFID:5.34www:173****791: People's%20Republic%20of%20China:program_started:70a43c*****7549c |
|
站点将返回地域相对应的广告数据,通过底层磁盘读写,在系统目录“%Temp%”下生成文件“sta1.exe”并启动。
“sta1.exe”启动后继续在IE浏览器进程“IEXPLORE.EXE”中申请空间将自身代码写入,“IEXPLORE.EXE”将删除下列注册表键值:
| Quote: | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\goaeet
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\abtu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\flapphone |
|
复制“sta1.exe”至目录“%APPDATA%\ 4 hold\”,并重命名为“Start Download.exe”,修改注册,将“Start Download.exe”注册为自启动项,相关注册表如下:
| Quote: | 键:“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”
值:“flapphone”
数据:“C:\DOCUME~1\ADMINI~1\APPLIC~1\4HOLD~1\Start Download.exe” |
|
“IEXPLORE.EXE”访问网络地址:
| Quote: | | http://a*****.nb.*****domain*****up.com/bins/int/tp_map16.int?fxp=0ea*****8edbe02835ebcc5*****940810ff961*****36363219c9c92f*****2211a3978” |
|
站点返回大量加密数据,通过底层磁盘读写,在目录“%APPDATA%\ 4 hold\”下生成随机文件名文件“ulytwhhn.exe”并运行。“ulytwhhn.exe”运行后启动后继续在IE浏览器进程“IEXPLORE.EXE”中申请空间将自身代码写入。
“IEXPLORE.EXE”访问网络地址:
| Quote: | | http://l****.nb.*****domain*****up.com/bins/int/upd_admn.int?fxp=c64*****463fb28efd******be308d02a4cd8f1037*****6a0c27619151******3530a4e |
|
站点返回大量加密数据,通过底层磁盘读写,在目录“%APPDATA%\4 hold\”下生成文件“Surf Memo Part Axis.exe”,在目录“%APPDATA%\ Bind army eggs joy\”下生成文件“Lite Coal.exe”,修改注册表,将“Lite Coal.exe”设置为自启动项,“Lite Coal.exe”运行后启动后继续在IE浏览器进程“IEXPLORE.EXE”中申请空间将自身代码写入。相关注册如下:
| Quote: | 键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值:eggs joy math type
数据:C:\Documents and Settings\All Users\Application Data\Bind army eggs joy\Lite Coal.exe |
|
“IEXPLORE.EXE”访问网络地址:
| Quote: | | http://N*****.nb.*****domai*****up.co/bins/int/kr3.int?fxp=1731d8de974******c7110be5fa7bdbb*****fa9db0113e******c13f4a810*****9c860” |
|
获取大量加密数据,通过底层磁盘读写,在目录“%APPDATA%\4 hold\”下生成文件“Test Plan Byte.exe”,“Test Plan Byte.exe”在自身目录下生成无后缀名文件“0”,文件内容如下:
| Quote: | | |鎣韰磼疸¬?匰yT_XS6括笜<_8_括笜<_8_/份伆イ__x炼3~墢俁__畝鹟?屬_q&亨?*蔍擖IZ8?媞_湕菗藃_灷ǜ?_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_/份伆イ_媡_"宩?珱觨^;q??橸箯榑濬?<筹M鳿薞BF?m括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_括笜<_8_ |
|
“Test Plan Byte.exe”建立计划任务文件“A43B22F29184DB2A.job”至系统目录“%SystemRoot%\ Tasks”,任务内容为每小时运行一次“Test Plan Byte.exe”。
用户在浏览网页时,会不断弹出广告窗口,使病毒制造者牟利。
[ Last edited by pioneer on 2008-12-16 at 17:12 ]
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
