机器狗变种简单分析~ 
2007-12-19 09:04:58
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://gudugengkekao.blog.51cto.com/172212/55789 |
其实这东西跟以前这个差不多:
只不过做了一些变动,载体为随机命名的~
好了,简单分析下:
1、释放文件方面:
2个SYS文件,其中一个是PE文件,病毒的副本。
wxptdi.sys 77824 字节
fat32.sys
注意啊,这2个的路径都是在C:\windows\system32\下的
2、调用一个P处理tmipo.bat,执行stop sharedaccess命令。
3、控制系统文件svchost,加载在内存中。
4、连接网络先获得下载列表:[url]http://d.93se.com/listo.txt[/url]
然后下载木马,释放到c:\Program Files\,命名为:
c:\Program Files\lsassu.exe
c:\Program Files\lsasst.exe c:\Program Files\lsasss.exe c:\Program Files\lsassr.exe c:\Program Files\lsassq.exe c:\Program Files\lsassp.exe c:\Program Files\lsasso.exe c:\Program Files\lsassn.exe c:\Program Files\lsassm.exe c:\Program Files\lsassl.exe c:\Program Files\lsassk.exe c:\Program Files\lsassj.exe c:\Program Files\lsassi.exe c:\Program Files\lsassh.exe c:\Program Files\lsassf.exe c:\Program Files\lsasse.exe c:\Program Files\lsassd.exe c:\Program Files\lsassc.exe c:\Program Files\lsassb.exe c:\Program Files\lsassa.exe c:\Program Files\lsass9.exe c:\Program Files\lsass8.exe c:\Program Files\lsass7.exe c:\Program Files\lsass6.exe c:\Program Files\lsass5.exe c:\Program Files\lsass4.exe c:\Program Files\lsass3.exe c:\Program Files\lsass2.exe c:\Program Files\lsass1.exe c:\Program Files\lsass0.exe 有大话、梦幻、征途、三国、QQ、QQgame、机战、魔域、大话3、传奇等木马。
5、释放fat32.sys驱动,注册为PciHardDisk。
会访问磁盘底层,修改userinit.exe。但我阻止了~
其他没跟踪,就直接运行了~主要特征就是上面这些。
解决方法就是从dllcache把正常的userinit.exe覆盖到原来的地方。
然后删除c:\Program Files\的那些东西,还有wxptdi.sys和fat32.sys。
注意啊,这2个的路径都是在C:\windows\system32\下的
C:\windows\system32\fat32.sys
C:\windows\system32\wxptdi.sys
  本文出自 “孤独更可靠” 博客,请务必保留此出处http://gudugengkekao.blog.51cto.com/172212/55789 本文出自 51CTO.COM技术博客 |
孤独更可靠
博客统计信息
热门文章
最新评论
友情链接