pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析:
1.创建互斥体互拆体防止病毒多次运行, 在系统目录下创建目录EbfGlT0和L02iIGV,并拷贝自身分别到以上两个上当中,%SystemRoot%\system32\EbfGlT0\L02iIGV.exe和%SystemRoot%\system32\L02iIGV\EbfGlT0.exe并设置其为隐藏属性。
2.执行%SystemRoot%\system32\EbfGlT0\L02iIGV.exe,打开calc.exe,reg.exe等系统工具而不关闭,导致用户中毒后无法使用计算器等正常工具。
3.创建线程,每隔一段时间创建X:\cspmctkikhsfqtr.Tmp(X代表硬盘盘符,可移动硬盘盘符,U盘和网络共享盘符,名字随机),并删除X:\cspmctkikhsfqtr.Tmp。
4.执行%SystemRoot%\system32\L02iIGV\EbfGlT0.exe,创建互拆体防止病毒重复执行,创建病毒临时文件%SystemDriver%\reckpbskgfbcbnc.tmp1,%SystemDriver%\rdpetfreqmkrisy.tmp2等,在桌面创建IE快捷方式、网址导航等病毒作者指定的恶意网站链接。创建目录%SystemDriver%\N123P,并释放病毒程序svchost.exe和ctfmon.exe到%SystemDriver%\N123P,在开始菜单,启动中创建恶意链接。
5.释放病毒文件到%SystemRoot%\system32\L02iIGV\L02iIGV.dll修改注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 把自身加入自启动。在注册表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 创建safeboxTray.exe、runiep.exe、Navapsvc.exe等多个项,进行映像劫持。
6.隐藏文件扩展名,并设置系统文件隐藏不可见,劫持用户IE浏览器,篡改主页为http://www.seo***.com/?ie123,访问大量恶意广告网站。
病毒创建文件:
%SystemRoot%\system32\EbfGlT0\L02iIGV.exe
%SystemRoot%\system32\L02iIGV\EbfGlT0.exe
%SystemDriver%\reckpbskgfbcbnc.tmp1
%SystemDriver%\reckpbskgfbcbnc.tmp2
%SystemDriver%\N123P
X:\cspmctkikhsfqtr.Tmp(X代表硬盘盘符,可移动硬盘盘符,U盘和网络共享盘符,名字随机)
病毒创建注册表:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
数据:%SystemRoot%\system32\EbfGlT0\L02iIGV.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxTray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe
病毒访问网络:
http://www.seo***.com/?ie123
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|