pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1、判断自身是否为C:\windows\system32\svchost.exe,如果是,病毒会创建名称为“4bmx.***.org:2009”互斥体,防止程序多次运行;
2、如果不是,会判断自身是否为C:\windows\system32\cf.exe,如果不是,复制自身到C:\windows\system32目录下并重命名为cf.exe;
3、调用windows命令行删除病毒文件自身,运行cf.exe;
4、cf.exe运行后,创建名称为“cf”,显示名为“cfwg”的系统服务,创建相应的注册表服务项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cf,数据指向C:\windows\system32\cf.exe;
5、cf.exe创建的服务启动后,将自身进程注入到svchost.exe线程中,创建socket通信,连接至黑客指定地址,用户电脑成为傀儡机;
病毒创建文件:
%SystemRoot%\system32\cf.exe
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cf
名称:Description
数据:C:\windows\system32\cf.exe
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|