pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该程序是一捆绑型木马,运行后释放1.exe和病毒程序svchost.exe(这是一个做过免杀的灰鸽子),并生成脚本文件1.vbs,其内容如下
| Quote: | set ws = createobject("wscript.shell")
ws.run "cmd /c 1.exe",vbhide
ws.run "cmd /c svchost.exe",vbhide |
|
补丁执行后同时病毒程序被执行,拷贝自身到目录“C:\Program Files\”下命名为svchost.exe,通过SCM写注册表将病毒拷贝“svchost.exe”注册成名为“Network”的服务并启动此服务;病毒通过批处理执行自删除。
相关注册表键值如下:
| Quote: | 项:HKLM\SYSTEM\CurrentControlSet\Services\Network\
键值:DisplayName
指向数据:Network Provisioning
项:HKLM\SYSTEM\CurrentControlSet\Services\Network\
键值:ImagePath
指向文件:C:\PRogram Files\svchost.exe
项:HKLM\SYSTEM\CurrentControlSet\Services\Network\
键值:Start
指向数据:02
项:HKLM\SYSTEM\CurrentControlSet\Services\Network\
键值:Description
指向数据:Network Provisioning Service |
|
病毒主程序运行后,以挂起方式启动进程“iexplore.exe”,申请空间将自身代码写入,执行远程线程将写入的代码作为其一个线程运行,后台联网从网络空间上读取后门种植者所设置的IP地址和端口号进行反向连接,连接成功后与黑客进行通讯,接受黑客的控制(如代理,视频监控等),使被病毒感染主机伦为傀儡主机。
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
