pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1、创建互斥体“isuHGdfhS”,防止程序多次运行;
2、利用环境变量扩充环境字串,查找系统文件%SystemRoot%\smss.exe,获取模块句柄;
3、将自身文件复制为%SystemRoot%\smss.exe,用以替换正常系统文件;
4、创建注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,目标指向%SystemRoot%\smss.exe,用以实现病毒自启动;
6、smss.exe运行后,连接病毒网络,读取病毒网络信息,下载保存在创建的%SystemRoot%\smss.exe.tmp文件下;将本机IP地址、主机名、系统版本等信息发送到远端网络地址,用户电脑成为傀儡机器。
病毒创建文件:
%SystemRoot%\smss.exe.tmp
病毒替换系统文件:
%SystemRoot%\smss.exe
病毒创建注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
DisplayName: Windows Media Center
ImagePath: %SystemRoot%\smss.exe
病毒访问网络:
http://f0rz4.***.cc/war/p=BotPoke
http://ipinfodb.com/***_country.php?output=json
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|