pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1、查看自身是否位于%Temp%目录下,如果不是,将自身移动到该目录下并重命名为lolond.exe(随机名);
2、在%Temp%目录下创建文本文件mslduf.txt;
3、病毒创建线程,在%Temp%目录下创建驱动文件ospmsj.sys,查找是否有ZoneAlarm、Norton、Symantec、AVG Firewall、AhnLab V3、BitDefender Firewall等安全软件窗口,或者会阻止程序运行的其它一些字符串,如“Create rule for SAMPLE.EXE"、"Allow"等,如果发现其中任何一个,木马会打开服务管理器创建名称为ospmsj的服务 ,启动服务,结束掉安全软件进程,然后停止服务,删除注册表服务项,继续查找下一窗口;
4、打开网络地址http://marganhos***.com/b2b/?Kmls,下载病毒文件到本地%Temp%目录下并命名为cmcnkc.exe、ogogmi.exe等(随机名);
5、以隐藏方式执行下载的病毒程序,退出自身进程;
病毒创建文件:
%Temp%\lolond.exe
%Temp%\mslduf.txt
%Temp%\ospmsj.sys
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\\CurrentControlSet\\Services\\ospmsj
名称:ospmsj
数据:%Temp%\ospmsj.sys
病毒连接网络:
http://marganhos***.com/b2b/?kmls
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|