pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析:
(1)创建目录%SystemDriver%\%Program Files%并将自身移动到%ProgramFiles%\%Program Files%,创建进程快照,遍历查找avp.exe进程,如果找到继续查找是否有360tray.exe,否则继续执行。
(2)修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock
名称:InstallModule 数据:病毒完整路径
名称:ConnectGroup 数据:Default
名称:MyVerSion 数据:2012
(3)创建%SystemDriver%\ntldr.SYS、%ProgramRoot%\best.Bat和%ProgramRoot%\362.vbs并写入配置信息,在目录%ProgramFiles%\%Program Files%\下释放病毒代码363.VBS、best.bat、laass.Exe,释放病毒加密代码到%ProgramFiles%\%Program Files%\~ ,解密其数据保存到C:\Progra~1\%Program Files%\antispy.dl。
(4)创建注册表HKEY_USERS\S-1-5-21-1177238915-2025429265-682003330-500\Software\Microsoft\Windows\ShellNoRoam\MUICache
名称:%ProgramFiles%\%Program Files%\laass.exe 数据:Run a DLL as an App
创建注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:默认 数据:file:%ProgramRoot%\362.VBS
系统启动后自动运行此脚本执行执行病毒文件。
(5)通过ShellExecuteA加载执行dll文件%ProgramFiles%\%Program Files%\laass.exe antispy.dll main后删除自身。创建多个线程,删除%SystemDriver%\ntldr.SYS,访问http://bos**.8866.org:2011。
(6),装载WinSock网络接口函数,劫持用户网络,窃取用户信息,创建鼠标键盘消息钩子截获用户账号密码等信息发送给远程黑客。
病毒创建文件:
%SystemDriver%\ntldr.SYS
%ProgramRoot%\best.Bat
%ProgramRoot%\362.vbs
%ProgramFiles%\%Program Files%\363.VBS
%ProgramFiles%\%Program Files%\best.bat
%ProgramFiles%\%Program Files%\laass.Exe
%ProgramFiles%\%Program Files%\antispy.dl
%ProgramFiles%\%Program Files%\~
病毒创建注册表:
HKEY_USERS\S-1-5-21-1177238915-2025429265-682003330-500\Software\Microsoft\Windows\ShellNoRoam\MUICache
名称:%ProgramFiles%\%Program Files%\laass.exe
数据:Run a DLL as an App
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:默认
数据:file:%ProgramRoot%\362.VBS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock
名称:InstallModule 数据:病毒完整路径
名称:ConnectGroup 数据:Default
名称:MyVerSion 数据:2012
病毒访问网络:
http://bos**.8866.org:2011
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|