pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该样本程序被执行后,修改系统时间为“2004年”,使部分依赖时间机制的安全软件不能正常使用,使用映像劫持手段让如下安全软件无法启动:
| Quote: | 360rpt.exe
360safe.exe
autorunkiller
avp.exe
ccenter.exe
icesword.exe
rav.exe
nod32krn.exe |
|
拷贝自身到%SystemRoot%\system32目录下覆盖原有文件“wuauclt1.exe”,在同一目录下释放动态库文件“w1nnet.dll”,修改如下注册表健值使得其开机自启动,同时把病毒原文件图标设置为透明。
项:
| Quote: | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
键值:test
指向数据:C:\WINDOWS\system32\wuauclt1.exe |
|
“wuauclt1.exe”运行后,修改如下注册表健值开启不显示隐藏文件功能。
项:
| Quote: | HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
键值:CheckedValue
指向变量:2(原值为1) |
|
枚举盘符在所有分区中释放隐藏病毒文件“MSDOS.EXE”和“autorun.inf”,使用Windows自动播放功能来对病毒进行传播。
| Quote: | [AutoRun]
shell\open=打开(&O)
shell\open\Command=MSDOS.EXE
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=MSDOS.EXE |
|
拷贝系统动态库“UrlMon.dll”为“w1nnet.dll”,后台启动“IEXPLORE.EXE”进程,注入病毒代码将“w1nnet.dll”装载,调用相关导出函数访问恶意网址“http://125.83.89.62/**c/1.gif~30.gif”下载多种盗号木马到本地执行。
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
