推荐日志

仿威金..始终还是成威金了..建议区分清楚..

[ 2007-03-25 03:27:58 | 作者: sun ]
字体大小: | |
这些东西恶心程度..我不想再说了..如题写分析..

运行 logo1_.exe
释放文件
C:\WINDOWS\logo1_.exe (与威金病毒文件存放路径和文件名相同..)
C:\WINDOWS\SYSTEM32.vxd
C:\WINDOWS\SYSTEM32.TMP
C:\WINDOWS\SYSTEM32.vxd.dat
-----------------------------------------------------
写入注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"-
-----------------------------------------------------
logo1_.exe 运行后 调用 cmd.exe 执行命令 cmd.exe /c dir X:\*.exe /s /b >>C:\WINDOWS\SYSTEM32.vxd.dat
X为某个盘..
而后感染 X 盘内的所有 .exe 文件..
感染后同样释放一个同名文件 后辍为 .exe.tmp
X盘内
system volume information
recycled
俩个文件夹内的 .exe 文件 感染后释放同名文件 后辍为 .exe.dat
新添加的..
X 盘内的每个文件夹内释放一个 _desktop.ini
是学威金 还是 本来就出自 威金作者手里呢?
同时连入网络下载木马..这次文件名换了..
分别为
C:\WINDOWS\1.exe(Dropper.LMir.agi)
C:\WINDOWS\2.exe(瑞星不报)
C:\WINDOWS\3.exe(Trojan.PSW.ZhengTu.aay)
C:\WINDOWS\4.exe(Trojan.PSW.LMir.lru)
C:\WINDOWS\5.exe(Trojan.Agent.zez)
C:\WINDOWS\6.exe(Trojan.DL.Agent.blt)
C:\WINDOWS\7.exe(Trojan.PSW.LMir.ljc)
C:\WINDOWS\8.exe(Trojan.PSW.WLOnline.cv)
被感染的.exe 文件..头部写入:19613字节尾部:5字节
汇编还看到些东西..
尝试结束进程
ravmon.exe
ravtask.exe
ravmon.exe
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
ravmond.exe
trojdie.kxp
frogagent.exe
rundll32.exe
system32\drivers\spoclsv.exe(反熊猫一道? 熊猫干威金 威金干熊猫精彩)
作者留下的字..还是不变..
地址=004081B7
反汇编=MOV EDX,1_.0040858C
文本字串=瑞星 卡巴 金山 诺盾 爱老虎油!!!!!!
--------------------------------------------------------------
简单说说变化..
⒈ 感染的速度比上次那个快多了..上次是一个盘一个盘来..这次是除系统盘..其他盘一次性感染..
⒉ go.exe 和 autorun.inf 飞走咯..
⒊ _desktop.ini 都跟威金 学吧..
⒋ 结束安全软件进程和熊猫进程..
评论Feed 评论Feed: http://www.lziss.com/blog/feed.asp?q=comment&id=291
UTF-8 Encoding 引用链接: http://www.lziss.com/blog/trackback.asp?id=291

这篇日志没有评论.

发表
表情图标
[1] [2] [3] [4]
[5] [6] [7] [8]
[9] [10] [11] [12]
[13] [14] [15] [16]
[17] [18] [19] [20]
[21] [22] [23] [24]
[25] [26] [27] [28]
[29] [30] [31] [32]
[33] [34] [35]
UBB代码
转换链接
表情图标
悄悄话
用户名:   密码:   注册?