pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1、%Temp%目录下创建 nsf5.tmp文件来验证病毒的可执行环境。
2、%Temp%目录下创建1111.jpg图片,并打开显示。
3、%Temp%目录下创建QQ360SD.exe并动态释放PE代码。填充无效字节后执行。
4、退出自身。
5、%ProgramFiles%\Common Files目录下创建ArSwp3.exe并动态释放PE代码。填充无效字节后执行。
6、创建互斥体“QQQQQQQ******”(QQQQQQQ开头名字随机)避免程序重复运行。
7、ArSwp3.exe运行之后查找金山卫士KsafeTray.exe,发现提升自身特权级到(SeDebugPrivilege)后关闭金山卫士进程。
8、枚举进程查找360安全卫士和QQ安全软件,发现后停止对应的服务。
9、创建C:\ACC.exe并伪造为腾讯数字签名,创建C:\Factory.dll并伪造为东方微点文件。
10、创建C:\Windows\vbcfg.ini并写入服务装载配置信息。服务文件为ArSwp3.exe。服务名:7KmjQ4Ml(随机)
11、创建%SystemRoot%\SYSTEM32\DtAbY4.pic文件。
12、创建服务b7HU50hm(随机名),并根据vbcfg.ini配置信息配置此服务项各各键值。使得DtAbY4.pic成为服务随计算机自启动。
13、启动b7HU50hm服务并删除ArSwp3.exe自身文件。
14、b7HU50hm服务运行时检测360sd.exe,KSafe.exe,Knsd.exe,DSMain.exe,360Safe.exe,QQPCTray.exe,发现后通过作业绑定方式结束相 关进程。复制自身到%Temp%目录下。
15、创建如下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Win
HKEY_LOCAL_MACHINE\SOFTWARE\Win\DComLaunch
HKEY_LOCAL_MACHINE\SOFTWARE\Win\HTTPFilter
HKEY_LOCAL_MACHINE\SOFTWARE\Win\LocalService
HKEY_LOCAL_MACHINE\SOFTWARE\Win\netsvcs
HKEY_LOCAL_MACHINE\SOFTWARE\Win\PCHealth
HKEY_LOCAL_MACHINE\SOFTWARE\Win\termsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources\msvideo
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MN2YLK9P
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MN2YLK9P\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MN2YLK9P\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mN2YLk9P
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mN2YLk9P\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mN2YLk9P\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mN2YLk9P\Enum
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\X55jJJ2O
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\X55jJJ2O\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\msvideo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MN2YLK9P
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MN2YLK9P\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MN2YLK9P\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mN2YLk9P
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mN2YLk9P\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mN2YLk9P\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mN2YLk9P\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\X55jJJ2O
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\X55jJJ2O\Parameters
病毒创建文件:
%Temp%\nsf5.tmp
%Temp%\1111.JPG
%Temp%\QQ360SD.exe
%ProgramFiles%\Common Files\ArSwp3.exe
C:\ACC.exe
C:\Factory.dll
%SystemRoot%\system32\DtAbY4.pic
C:\Windows\vbcfg.ini
%Temp%\DtAbY4.pic
病毒删除文件:
%Temp%\nsf5.tmp
%Temp%\QQ360SD.exe
%ProgramFiles%\Common Files\ArSwp3.exe
C:\ACC.exe
C:\Factory.dll
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|