pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1、病毒程序运行后,首先查找注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\productname,获取系统操作系统版本;然后获取系统的用户名、网卡地址、磁盘类型等信息;
2、打开网址http://23***.com:2011/count.asp,将获取到的系统信息加密后发到远端网址;
3、打开网址http://a1click.***.sogou.com/bill_search,从网络上读取资源信息;
5、在%SystemRoot%目录下创建文件%SystemRoot%\Debugs.inf,用于记录病毒的运行信息;如果发现病毒被调试,则重新创建自身进程;然后删除该文件;
6、将病毒自身复制到%SystemRoot%目录下并重命名为cclick.exe,在系统根目录%SystemDriver%下创建记录文件MyTemp,用于记录病毒原程序的路径;
7、打开cclick.exe,退出自身进程;
8、Cclick.exe运行后,创建线程,建立套接字通信,将获取的系统信息发送到指定网址;
9、连接网络地址http://7***.com:2012/list/1105.gif,读取网络资源信息,下载到本地%Temp%目录下并重命名为27355.gif(随机名);
10、打开注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,将%SystemRoot%\cclick.exe添加到Userinit键值下,实现随系统启动;
11、最后删除病毒原文件,退出Cclick.exe进程;
病毒创建文件:
%SystemRoot%\Debugs.inf
%SystemRoot%\cclick.exe
%SystemDriver%\MyTemp
%SystemRoot%\cclick.exe
%Temp%\27355.gif
病毒创建注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
名称:Userinit 数据:C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\cclick.exe
病毒访问网络:
http://7***.com:2012/list/1105.gif
http://a1click.***.sogou.com/bill_search
http://23***.com:2011/count.asp
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|