pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1、在临时文件夹目录%Temp%下创建文件夹w8vvi2o(随机名),然后在该文件夹下创建文件2.tmp,然后创建文件tmp.exe.tmp;
2、根据2.tmp和tmp.exe.tmp创建文件tmp.exe,然后将该文件移动到 %SystemRoot%\temp目录下,将病毒运行信息写入记录文件%Temp%\_uninstall;
3、打开注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,查找common startup项,根据数据找到C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录,在该目录下创建%SystemRoot%\temp\tmp.exe的快捷方式ktv.lnk,,实现tmp.exe的开机自启动;
4.tmp.exe启动后,创建名称为Global\571AD448-1F69-47d5-AEC1-D5EA2234409B的事件;
5、连接病毒网络8475.***.cn,发送用户信息到该网络地址;
6、打开互斥体“142378317”,查看是否有一个实例已经运行;
7、创建注册表项HKEY_LOCAL_MACHINE\Software\ASD,名称为STM,数据为1298517450;
8、连接病毒网络http://60.***.234.138/pl1.txt,读取网络资源信息,获取另一个网络下载地址http://sp.demi***.com/88.exe;
9、打开网络地址http://sp.demi***.com/88.exe,读取网络资源信息,将病毒文件下载到本地%Temp%目录下并重命名为fvq8.tmp,然后运行下载的病毒文件;
病毒创建文件:
%Temp%\2.tmp
%Temp%\tmp.exe.tmp
%%Temp%\tmp.exe
%%Temp%\_uninstall
%SystemRoot%\temp\tmp.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ktv.lnk
病毒创建注册表:
HKEY_LOCAL_MACHINE\Software\ASD
名称:STM 数据:1298517450
病毒访问网络:
http://60.***.234.138/pl1.txt
8475.***.cn
8476.http://sp.demi***.com/88.exe
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|