pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
(1)判断参数是不是-Clear ,判断当前路径是不是%ProgramFiles%\Common Files\SafeSys.exe,如果不是,执行%ProgramFiles%\Common Files\SafeSys.exe –Clear,然后创建互斥"vip1.0,kuaigeiwoxiaoshi!"结束进程
(2)检测自身路径是不是在根目录,然后创建%SYSTEMDRIVER%\AutoRun.inf,如果创建成功,打开C盘,发送消息,关闭窗口,如果窗口关闭失败,查找杀毒软件等弹出窗口,并关闭
(3)检查自身是不是%ProgramFiles%\Internet Explorer\IEXPLORE.EXE,如果是,打开指定网址,然后判断该网址对应文件,是否是PE文件,如果是PE文件,保存为%temp%\SafeSys(1).exe,然后运行文件,不是PE文件,保存为%Temp%\SafeSys.txt,读取下载列表进行下载
(4)判断自身是不是%SystemRoot%\system32\svchost.exe,删除安全模式,结束杀软进程,设置360相关注册表,修改启动项目,删除修改注册表时,用到的文件,打开 "vip1.0,kuaigeiwoxiaoshi!"如果打开成功,创建%Temp%\~hkfbl.bat删除%ProgramFiles%\Common Files\SafeSys.exe等一系列卸载操作
(5)判断自身路径是不是 %ProgramFiles%\Common Files\SafeSys.exe,结束进程,创建映像劫持,遍历盘符写AutoRun.inf
(6)判断自身是不是%SystemRoot%\system32\spoolsv.exe,启动保护服务
(7)判断参数是不是“-SafeSys”,不是创建“SAMPLE.exe –SafeSys”进程,并创建互斥"-SafeSys"
(8)创建%ProgramFiles%\jnbim.bak,然后加载,释放驱动文件%SystemRoot%\Fonts\aruql.fon,创建服务aruql,启动驱动,然后删除,驱动主要功能是起保护病毒文件功能。
(9)查找窗口,关闭常见安全软件,调试工具等,修改注册表,关闭进程,遍历磁盘写AutoRun.inf
(10)停止Spooler服务,去掉%SystemRoot%\system32\spoolsv.exe的文件保护,释放驱动Temp\~cifsw.tmp,创建"SafeSysDrv"服务启动Temp\~cifsw.tmp",修改%SystemRoot%\system32\spoolsv.exe
(11)查找内网共享等,进行内网传播,发送统计信息到指定网站
(12)复制自身到%ProgramFiles%\Common Files\SafeSys.exe,并以SafeSys参数运行,病毒检查是否以"-Service"参数运行,然后以"-Service"参数运行,
(13)复制%SystemRoot%\system32\spoolsv.exe到%SystemRoot%\system32\dllcache\spoolsv.exe,检查Spooler服务关联文件,启动Spooler服务,启动两个SVCHOST进程,并把病毒代码写入,检查注册表启动项目和病毒是否存在,然后退出
(14)生成删除自身%Temp%\~brlhb.bat删除自身,
病毒创建文件:
%ProgramFiles%\Common Files\SafeSys.exe
%temp%\SafeSys(1).exe
%Temp%\SafeSys.txt
%ProgramFiles%\jnbim.bak
%SystemRoot%\Fonts\aruql.fon
%Temp%\~hkfbl.bat
%Temp%\~brlhb.bat
X:\SafeSys.exe
X:\AutoRun.inf (X:为任意盘符)
病毒修改文件:
%SystemRoot%\system32\spoolsv.exe
%SystemRoot%\system32\dllcache\spoolsv.exe
病毒删除文件:
%Temp%\~hkfbl.bat
%Temp%\~brlhb.bat
%SystemRoot%\Fonts\aruql.fon
X:\SafeSys.exe
X:\AutoRun.inf (X:为任意盘符)
病毒创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SafeSys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SafeSysDrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aruql
HKEY_CURRENT_USER\Software\alppvw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableWindowsUpdateAccess
病毒修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\MonAccess
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\SiteAccess
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\ExecAccess
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\ARPAccess
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\weeken
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\IEProtAccess
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\LeakShowed HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon\UDiskAccessHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler\ImagePath HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
病毒删除注册表:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\Software\alppvw
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aruql
病毒创建进程:
svchost.exe(两个)
病毒访问网络:
http://count.key5188.com/count/get.asp
http://c.8yeye.com/count.txt
[ Last edited by pioneer on 2009-4-17 at 15:28 ]
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
