pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析:
(1),判断自身是否为%SystemRoot%\conime.exe,如果不是,复制自身为%SystemRoot%\conime.exe,加载执行conime.exe,下载http://www.011**.com/11d.txt到%SystemDriver%\wxclient,获取%SystemDriver%\wxclient配置内容,根据配置内容下载大量未知木马到本机运行。
(2),释放病毒代码到%Temp%\\332233404453.jpg(04453为随机),修改其创建时间和修改时间。复制332233404453.jpg为%SystemRoot%\system32\popupko.dll,设置popupko.dll为隐藏属性,删除332233404453.jpg
(3),创建%SystemDriver%\supe0d3ef5s1x4a5d7f.bat批处理文件,写入批处理命令rundll32.exe popupko.dll FunctionStart,创建进程执行批处理程序加载运行popupko.dll,删除%SystemDriver%\supe0d3ef5s1x4a5d7f.bat。
(4),创建互斥量 cntest#32770防止病毒多次运行,创建系统进程快照,遍历查找cmd.exe,如果存在则强行终止此进程。
(5),获取cehProcessgy.dll配置信息,创建线程,每隔一段时间打开黑客指定的网站,更新配置信息。
病毒创建文件:
%Temp%\\332233404453.jpg(04453为随机)
%SystemDriver%\wxclient
%SystemRoot%\system32\popupko.dll
%SystemRoot%\system32\cehProcessgy.dll
病毒访问网络:
http://www.011**.com/5.exe
http://www.*mall.com/
http://u.589**.com
http://www.suvvvs***.com/d.php?type=12&said=4349
[ Last edited by pioneer on 2011-5-27 at 17:52 ]
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|