瑞星最新病毒分析报告:"Worm.dlOnlineGames.a"
一个感染型的木马下载器
该病毒采用VC编写,
1.病毒运行后,在注册表Software\Microsoft\Windows\CurrentVersion\Run下建立System Boot Check键内容为"%system%\sysload3.exe"达到自启动的目的。
2.病毒会启动一个IE浏览器进程,一个NOTEPAD记事本的进程然后在这两个进程中间分配内存,把自己的代码复制到申请的内存空间中执行,达到隐藏自己的目的。
3.病毒在两个进程中完成主要功能,
一:从远程服务器下载一个CSS文件(http://a.2007ip.com/css/css.css),实际上该文件是配置文件,内容如下:
[config]
Version=1.0.6
NUM=7
1=http://61.153.247.76/cald/01.gif
2=http://61.153.247.76/cald/02.gif
3=http://61.153.247.76/cald/03.gif
4=http://61.153.247.76/cald/04.gif
5=http://61.153.247.76/cald/05.gif
6=http://61.153.247.76/cald/06.gif
7=http://61.153.247.76/cald/07.gif
hos=http://if.iloveck.com/test/hos.gif
UpdateMe=http://a.2007ip.com/5949645046.exe
tongji=http://if.iloveck.com/test/tongji.htm
version 表示该病毒的版本
num是要下载文件的数量
updatame是升级该病毒的文件下载地址
tongji就是统计有多少人下载了该文件
然后根据下载列表下载文件到系统目录,并把下来后的文件名分别改成1.exe,2.exe......,并执行。接着访问http://if.iloveck.com/test/tongji.htm增加统计计数。
二:感染其他文件。
感染其他文件前,病毒先执行系统目录下刚刚被下载过的EXE文件。
然后会遍历a-z的所有驱动器,如果该驱动器为“可移动存储”就在该驱动器上创建AUTORUN.INF,来达到传播自己的目的。如果该驱动器为网络驱动器和本地硬盘(如果该驱动器是系统目录所在盘,则跳过感染),病毒会遍历所有的EXE文件,如果该文件的大于10K,小于10MB,就感染,感染手段和威金病毒,熊猫烧香病毒一样,把正常的EXE文件加载在自己的文件后面,并把图标也替换成正常EXE文件的图标,使用户无法辨认该EXE文件是否被感染。
相关文章
- 瑞星最新病毒分析报告:"Worm.IRC.Myphoto.a"
- 一天内接连出5个变种 "ANI蠕虫"制造者发誓买宝马
- 新病毒仿"熊猫烧香" 利用 Vista系统漏洞疯狂传播
- Vista 系统首爆重大漏洞 多家网站被植入相关病毒
- “MSN 照片”病毒疯狂传播 已经有数百台电脑中招