pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析:
1. 病毒伪装成文件夹图标诱骗用户点击。
2. 创建互斥对象 ZODANON ,创建进程快照查找ekrn.exe防止自身重复运行。
3. 把样本自身复制为%SystemDriver%\Program Files\Common Files\realteck\heoifz.pif,并修改一些代码。
4. 创建注册表CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 写注册表键值Advapi32.RegSetValueExA。
5. 释放%system32%\5866250.OCX(文件名随机),加载此dll。
6. GetProcAddress获取 GetSkin, Setconfig函数地址, 并调用。 Setconfig函数创建新的线程, 新的线程连接网络222.76.217.179 ,220.112.44.174下载木马程序 J1BAZ6S5\s[1].exe。
7. 运行木马J1BAZ6S5\s[1].exe。
病毒创建文件:
%System32%\Program Files\Common Files\realteck\heoifz.pif
%system32%\5866250.OCX(文件名随机)
%Documents and Settings%\Administrator\Local Settings\Temporary Internet Files\Content.IE5\J1BAZ6S5\s[1].gif
%Documents and Settings%\Administrator\Local Settings\Temporary Internet Files\Content.IE5\J1BAZ6S5\t[1].exe
%SystemRoot%\Temp\occ.ini
%Documents and Settings%\All Users\Documents\eck1.tmp
病毒创建注册表:
\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths
= C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
\USER\S-1-5-21-1220945662-2077806209-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\ History =C:\Documents and Settings\Administrator\Local Settings\History
病毒删除文件:
%Documents and Settings%\Administrator\Local Settings\Temporary Internet Files\Content.IE5\J1BAZ6S5\s[1].gif
病毒访问网络:
222.76.217.**
220.112.44.**
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|