pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该样本程序被执行后,查找标题为“HBInject”的窗口,找到后将其关闭;在目录%SystemRoot%\system3下释放文件“System.exe”并启动该进程;在同一目录下释放动态链接库文件“HB1000Y.dll”;在目录%SystemRoot%\system32\drivers\下释放驱动文件“HBKernel32.sys”,将其注册成名为“HBKernel32”的服务并启动此服务,驱动加载后保护病毒文件不被删除、注册表相关键值不被删除等;修改如下注册表项实现开机自启动,调用命令行执行自删除。
| Quote: | 项:HKLM\SYSTEM\CurrentControlSet\Services\HBKernel32\
键值:DisplayName
指向数据:HBKernel32 Driver
项:HKLM\SYSTEM\CurrentControlSet\Services\HBKernel32\
键值:ImagePath
指向数据:system32\DRIVERS\HBKernel32.sys
项:HKLM\SYSTEM\CurrentControlSet\Services\HBKernel32\
键值:Start
指向数据:00
项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
键值:HBService32
指向数据:System.exe |
|
病毒程序System.exe运行后,修改如下注册表项使得以下DLL文件重启后被自动加载:
| Quote: | 项:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
键值:AppInit_DLLs
指向数据:
HBmhly.dll,HB1000Y.dll,HBWOOOL.dll,HBXY2.dll,HBJXSJ.dll,HBSO2.dll,HBFS2.dll,HBXY3.dll,HBSHQ.dll,HBFY.dll,HBWULIN2.dll,HBW2I.dll,HBKDXY.dll,HBWORLD2.dll,HBASKTAO.dll,HBZHUXIAN.dll,HBWOW.dll,HBZERO.dll,HBBO.dll,HBCONQUER.dll,HBSOUL.dll,HBCHIBI.dll,HBDNF.dll,HBWARLORDS.dll,HBTL.dll,HBPICKCHINA.dll,HBCT.dll,HBGC.dll,HBHM.dll,HBHX2.dll,HBQQHX.dll,HBTW2.dll,HBQQSG.dll,HBQQFFO.dll,HBZT.dll,HBMIR2.dll,HBRXJH.dll,HBYY.dll,HBMXD.dll,HBSQ.dll,HBTJ.dll,HBFHZL.dll,HBWLQX.dll,HBLYFX.dll,HBR2.dll,HBCHD.dll,HBTZ.dll,HBQQXX.dll,HBWD.dll,HBZG.dll,HBPPBL.dll,HBXMJ.dll,HBJTLQ.dll,HBQJSJ.dll |
|
动态库文件“HB1000Y.dll”被装载执行后,通过API函数SetWindowsHookExA设置全局钩子试图将自身注入到所有进程中,创建名为“qiannian”的隐藏窗口,监视用户输入的关键信息,后台联网将获取到的游戏的用户名和密码发送至“http ://www.ti***ia.hk.cn/qn10/post.asp”
和“http ://www.ti***ia.hk.cn/qn08/post.asp”。
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
