首页 | 最新病毒 | 反病毒学院 | qq病毒专杀 | arp病毒 | MSN病毒 | auto病毒专杀 | U盘病毒 | downloader病毒 | 木马查杀 | 计算机病毒 | 最新漏洞   
您的位置: 首页 >> 反病毒学院 >> 阅读资讯:对“带有进程映像劫持功能的机器狗病毒”进行分析

对“带有进程映像劫持功能的机器狗病毒”进行分析

[ 作者:Coderui | 更新日期:2008-3-7 21:06:47 | 阅读次数: ]

对“带有进程映像劫持功能的机器狗病毒”进行分析

该主程序文件经过加壳保护处理。
C:\WINDOWS\system32\drivers\pcihdd2.sys ->释放驱动(文件大小:5,504 字节)
C:\WINDOWS\system32\lssass.exe ->释放木马下载器程序(文件大小:17,668 字节)
C:\WINDOWS\system32\userinit.exe ->覆盖(好象覆盖失败,没得到覆盖后的文件)
C:\WINDOWS\explorer.exe  ->覆盖(没发现覆盖这个文件,但程序内部判这个文件了,说明可能会覆盖)
c:\_uninsep.bat ->调用后,会执行“自我删除”的批处理。
有进程映像劫持功能,大概劫持50个以上安全软件进程(程序名这里就不一一列举了)。
--------------------------------------------------------------------------------------------
对“lssass.exe”分析:
该程序文件经过加壳保护处理。
判断自己是不是“explorer.exe或userinit.exe”程序。
C:\WINDOWS\system32\drivers\ati32srv.sys ->释放驱动(文件大小:5,376 字节)
C:\WINDOWS\system32\HDDGuard.dll ->释放DLL组件(文件大小:20,480 字节)
安装“ati32srv.sys”驱动,会利用“ati32srv.sys”驱动去关闭指定程序进程。
调用“HDDGuard.dll”组件,“HDDGuard.dll”组件会调用“:\Program Files\Internet Explorer\iexplore.exe”去连接网络(躲
避部分防火墙的监控),下载其它病毒文件。
病毒内的日期,判断木马下载列表的日期:
2008-1-25
下载地址列表
http://cnxz.kv8.info/images/xin.txt
---------------------------------------------------------------------
[CONTROL]
VERSION=2008-1-25
[DOWN]
NEWVERSION=http://2.kv8.info/xm/gx.exe
1=http://2.kv8.info/xm/aa1.exe
2=http://2.kv8.info/xm/aa2.exe
3=http://2.kv8.info/xm/aa3.exe
4=http://2.kv8.info/xm/aa4.exe
5=http://2.kv8.info/xm/aa5.exe
6=http://2.kv8.info/xm/aa6.exe
7=http://2.kv8.info/xm/aa7.exe
8=http://2.kv8.info/xm/aa8.exe
9=http://2.kv8.info/xm/aa9.exe
10=http://2.kv8.info/xm/aa10.exe
11=http://2.kv8.info/xm/aa11.exe
12=http://2.kv8.info/xm/aa12.exe
13=http://2.kv8.info/xm/aa13.exe
14=http://59.34.216.213/xm/aa14.exe
15=http://59.34.216.213/xm/aa15.exe
16=http://59.34.216.213/xm/aa16.exe
17=http://59.34.216.213/xm/aa17.exe
18=http://59.34.216.213/xm/aa18.exe
19=http://59.34.216.213/xm/aa19.exe
20=http://59.34.216.213/xm/aa20.exe
21=http://59.34.216.213/xm/aa21.exe
22=http://59.34.216.213/xm/aa22.exe
23=http://59.34.216.213/xm/aa23.exe
24=http://59.34.216.213/xm/aa24.exe
25=http://59.34.216.213/xm/aa25.exe
26=http://59.34.216.213/xm/aa26.exe
www.newjian.com


Tags:进程映像劫持功能 机器狗病毒
来源:
上一篇:Trojan-Dropper.Win32.Small.bgn木马分析  下一篇:最新AV终结者病毒变种的详细分析
您的评论
用户名:新注册) 密码: 匿名评论 [所有评论]

·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为
热点资讯

精彩推荐

     

最新资讯

随机推荐