pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#2
病毒分析
(1)设置自身属性为隐藏和系统属性,查看当前目录是否有AUTORUN.INF,如果没有,设置下次启动删除自身,如果有,打开病毒所在磁盘,运行病毒;
(2)运行notepad.exe,然后查找notepad窗口,关闭进程,如果运行失败,退出进程;
(3)创建互斥,防止第二次运行;
(4)遍历进程,如果发现ekrn.exe进程,删除ekrn服务,结束ekrn.exe和egui.exe进程,再次遍历进程,如果发现nod32krn.exe,删除nod32krn服务,结束nod32krn.exe和nod32gui.exe进程;
(5)释放%SystemDriver%\Sherry.dll,设置属性为系统和隐藏属性,遍历进程,如果发现CCenter.exe进程,创建\Fonts\bssa.VBS,运行bssa.VBS,利用bssa.VBS加载动态库,然后删除bssa.VBS,如果没有发现CCenter.exe进程,直接使用RUNDLL32.EXE加载动态库;
(6)创建线程,释放%temp%\dll3.tmp,然后加载,结束大部分安全软件进程,停止和删除安全软件相关服务,删除安全软件文件,下载病毒并运行,创建映像劫持,修改注册表,使显示隐藏文件失效,删除安全模式相关注册表,删除安全软件注册表启动项目;
(7)删除%SystemDriver%\Sherry.dll,创建线程,查看是否存在 %SystemRoot%\system32\dllcache\linkinfo.dll,如果存在,结束线程,如果不存在复制%SystemRoot%\system32\linkinfo.dll为%SystemRoot%\system32\dllcache\linkinfo.dll,释放驱动文件smvss.sys,并创建服务启动驱动,修改%SystemRoot%\system32\linkinfo.dll文件,删除驱动文件;
(8)遍历进程,如果发现360tray.exe进程,释放驱动文件WOHSLS.fon,创建服务启动驱动,结束360相关进程,通过读取注册表,获取360安装目录,在安装目录创建\safemon\usp10.dll目录,重命名safemon目录为monsafe;
(9)写映像劫持,对avp.exe进行劫持,释放%SystemRoot%\fonts\smyns.sys,创建服务smyns,修改%SystemRoot%\system32\linkinfo.dll,删除驱动文件;
(10)遍历磁盘,写GRIL.PIF和AUTORUN.INF
病毒创建文件:
%SystemDriver%\Sherry.dll
%SystemRoot%\Fonts\bssa.VBS
%SystemRoot%\system32\drivers\AsyncMac.sys
%Temp%\dll3.tmp
%SystemRoot%\fonts\smvss.sys
%SystemRoot%\Fonts\WOHSLS.fon
X:\GRIL.PIF
X:\AUTORUN.INF(X:为任意盘符)
病毒修改文件:
%SystemRoot%\system32\linkinfo.dll
病毒删除文件:
%SystemDriver%\Sherry.dll
%SystemRoot%\Fonts\bssa.VBS
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\fonts\smvss.sys
%SystemRoot%\Fonts\WOHSLS.fon
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\smvss
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WOHSLS
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
病毒修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
病毒删除注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值:
360Safetray
360Safebox
KavStart
vptray
ccApp
RavTray
egui
essact
病毒访问网络:
http://w**ddk.ch.ma/dd.txt
[ Last edited by pioneer on 2009-6-12 at 13:26 ]
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
