pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1、创建名称为“CHESHINIMAGEGANNIMABIADADWDSADAS”的事件,如果创建成功,则继续进行,否则退出程序;
2、比较自身是否为C:\Program Files\Docmentt\chsss.exe,如果不是,则将自身路径名保存在c:\SaveTxta902.txt文档下,创建目录C:\Program Files\Docmentt,复制自身到该目录下并重命名为chsss.exe;改写chsss.exe,在程序中插入大量无用字符;
3、创建进程运行chsss.exe,退出自身进程;
4、程序运行后,创建成互斥体“902”,防止程序多次运行,;
5、创建线程,删除c:\SaveTxta902.txt和病毒源文件;
6、创建线程,在注册表创建浏览器插件项,指向C:\Program Files\Docmentt\chsss.exe;
7、访问网络http://27***.com:800/87107170.gif下载文件到本地%Temp%目录下并重命名为32938928.gif(文件名随机);
8、创建目录c:\Program Files\DownTemp\,访问病毒网络http://27***.com:800/001.exe(001.exe、002.exe....),下载文件到创建的本地目录下,重命名为14542390.pif....(文件名随机),然后运行;
9、访问病毒网络http://tj.27***.com:800/count.asp,发送本地网卡等信息到目标网络;
10、删除下载的病毒文件;
病毒创建文件:
C:\SaveTxta902.txt
C:\Program Files\Docmentt\chsss.exe
C:\Program Files\DownTemp\14542390.pif等
病毒建立注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\{AENGFU3AA-B902-11d2-9CBD-0000F87A369E}
默认数据 Versiob902
名称 stubpath
数据 C:\Program Files\Docmentt\chsss.exe
病毒连接网络:
http://27***.com:800/87107170.gif
http://27***.com:800/001.exe
http://27***.com:800/002.exe
http://tj.27***.com:800/count.asp
[ Last edited by pioneer on 2010-11-19 at 14:39 ]
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|