pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1、后门运行后获得自身路径,得到自身所在磁盘盘符,如果为可移动存储设备,后门会打开该可移动存储设备;
2、获取本机的电脑名,加载动态库“ws2_32.dll”,将其映射到当前进程使用的地址空间;
3、比较自身是否为%Temp%\jusched.exe,如果不是,将自身复制到%Temp%目录下重命名为jusched.exe(伪造java升级程序的文件名),并设置文件属性只读、系统、隐藏;
4、创建注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,目标指向%Temp%\jusched.exe,用以实现后门程序自启动;
5、后门原程序创建进程运行jusched.exe,退出自身进程;
6、jusched.exe运行后创建线程,线程运行后创建互斥体“dIr”,防止多个程序运行;
7、线程运行后,进行套接字通信,连接病毒网络,将本机主机名、系统版本等信息发送到远端网络地址,用户电脑成为傀儡;
病毒创建文件:
%Temp%\jusched.exe
病毒创建注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
DisplayName: SunJavaUpdateSched
ImagePath: %Temp%\jusched.exe
病毒访问网络:
ix.k***ak2.com
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|