pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
(1),检查是否有kmon.dll(瑞星卡卡),如果有释放该dll模块。
(2), 比较自身是否为%Systemroot%\system32\svchost.exe,如果不是继续比较自身是否为%Systemroot%\system32\winhelp32.exe,如果不是,拷贝自身为%Systemroot%\system32\winhelp32.exe,并设置隐藏属性。
(3)尝试启动服务,如果启动失败,则为%Systemroot%\system32\WinHelp32.exe创建名为“Windows Help System”的服务。启动服务并创建服务相应的注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHelp32。
(4),服务启动成功后,创建线程,从黑客指定的网址下载文件到%SystemDriver%\2.exe,创建进程执行2.exe。
(5),尝试注入svchost.exe,如果注入成功,运行%Systemroot%\system32\winhelp32.exe,然后以cmd命令行隐藏窗口模式删除自身。
(6),获取系统版本号,CPU型号等信息发送给黑客,解析远端域名IP地址,并与该IP进行连接,本地机器完全受黑客控制。
病毒创建文件:
%Systemroot%\system32\winhelp32.exe
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHelp32
名称:ImagePath
数值:%Systemroot%\system32\winhelp32.exe
病毒访问网络:
http://naver.*****.net:360/index.htm.exe
pay**1.3322.org
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|