pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
该样本程序被执行后,将自身路径写入“%SystemRoot%\System32”目录下的“alalin.ini”文件,复制自身至“SystemRoot\System32”重命名为“alalin.exe”并启动。
释放大小为“2,784 字节”的驱动文件“cdaudio.sys”至文件夹“%SystemRoot%\LastGood\system32\drivers”,利用此驱动躲避部分软件的主动防御功能,同时释放大小为“18,688 字节”的伪装音频驱动“cdaudio.sys”至文件夹“%SystemRoot%\system32\drivers”。系统重启后,病毒将删除“LastGood”文件夹,并利用2,784 字节的“cdaudio.sys”驱动文件替换“%SystemRoot%\system32\drivers”内的伪装驱动,企图欺骗用户。
“alalin.exe”启动后,将检测自身位置,若为“%SystemRoot%\system32”则读取“alalin.ini”路径,删除路径中的文件,实现病毒样本自删除,“alalin.exe”将释放动态库文件“alalin.dll”,修改注册表,建立自启动项和服务项,相关注册表如下:
| Quote: | 项:“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run”
键值:“nwiz”
指向数据:“alalin.exe”
项:“HKLM\SYSTEM\CurrentControlSet\Services\aliimz”
键值:“ImagePath”
指向数据:“C:\WINDOWS\system32\drivers\aliimz.sys”
键值:“Start”
指向数据:“DEMAND START” |
|
“alalin.exe”将查找进程 “Explorer.exe”、“mir.exe”、“mir1.dat”、“mir2.dat”申请空间将文件“alalin.dll”写入,启动一线程运行写入的代码,执行监视和通过读取游戏内存相关模块数据盗取玩家游戏帐号与密码等敏感信息,并将其发送至黑客指定地址,危害玩家利益。
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
