pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1.获取当前所有磁盘驱动器,在最后一个驱动器(比如最后一个磁盘盘符为F)根目录下创建文件夹F:\RECYCLER;
2.在F:\RECYCLER目录下创建动态库文件KB970590.DLL,并设置属性为系统隐藏;如果KB970590.DLL已经存在,则将其复制为F:\RECYCLER\KB971590.TMP;
3.调用系统目录下的rundll32.exe以参数Init加载KB970590.DLL运行;
4. 如果KB970590.DLL运行失败,则删除KB971590.TMP;
5.KB970590.DLL运行后,首先提升自身进程权限;查找游戏进程Game.exe、MapleStory.exe,有则结束游戏游戏进程; 利用ntdll.dll调用内核ZwQuerySystemInformation函数枚举进程列表查找360tray.exe、360sd.exe进程,有则结束该进程;
7. 将系统输入法文件imm32.dll复制到临时文件夹目录下并重命名为Tmp1.tmp;
8.调用sfc-os.dll的5号函数关闭windows的文件保护;复制imm32.dll到临时文件夹目录下并重命名为Tmp2.tmp;感染Tmp1.tmp后将其复制到系统目录下并重命名为imm32.dll;
9.将系统文件Ksuser.dll复制为Ksuser.bak;将KB970590.DLL复制为Ksuser.dll;删除ksuser.bak;以实现开机自启动;
10. 创建驱动文件KB970591.SYS,结束安全软件进程,使安全软件失效;
11.感染的imm32.dll运行后,创建消息钩子,盗取用户游戏帐号和密码,发送到指定网址;
病毒创建文件:
F:\RECYCLER\KB970590.DLL
F:\RECYCLER\KB971590.TMP
F:\RECYCLER\KB970591.SYS
%Temp%\Tmp1.tmp
%Temp%\Tmp2.tmp
%SystemRoot%\system32\ksuser.bak
病毒感染系统文件:
%SystemRoot%\system32\imm32.dll
%SystemRoot%\system32\ksuser.dll
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|