pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析:
1.创建互斥体“Ioggggggggggggwnbii”防止病毒同一时刻再次运行。
2.判断自身是否为%SystemRoot%\UserDatggggggggga.exe,如果不是,释放病毒文件到%SystemRoot%\UserDatggggggggga.exe,设置隐藏、只读属性,创建进程执行%SystemRoot%\UserDatggggggggga.exe,删除自身;如果是则继续执行UserDatggggggggga.exe。
3.查看注册表中是否有此注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalersgggggggggg,如果有表明病毒运行过,已经创建相应的服务,直接退出程序;如果没有,则为C:\WINDOWS\UserDatggggggggga.exe创建名为“Nationalersgggggggggg”的服务,启动服务,创建对应的注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalersgggggggggg
名称:ImagePath
数据:C:\WINDOWS\UserDatggggggggga.exe
4.启动服务后创建线程,创建socket尝试连接黑客指定的远程地址,获得用户计算机名、系统版本、CPU型号等信息发送给黑客,本地计算机完全受黑客控制。
病毒创建文件:
%SystemRoot%\UserDatggggggggga.exe
病毒创建注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalersgggggggggg
名称:ImagePath
数据:%SystemRoot%\UserDatggggggggga.exe
病毒访问网络:
fghziyi.gi**.net:8000
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|