机器狗变种简单分析~ 推荐
2007-12-19 09:04
232 查看
其实这东西跟以前这个差不多:
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/1bccac02ebd8170c4bfb51d3.html
只不过做了一些变动,载体为随机命名的~
好了,简单分析下:
1、释放文件方面:
2个SYS文件,其中一个是PE文件,病毒的副本。
wxptdi.sys 77824 字节
fat32.sys
注意啊,这2个的路径都是在C:\windows\system32\下的
2、调用一个P处理tmipo.bat,执行stop sharedaccess命令。
3、控制系统文件svchost,加载在内存中。
4、连接网络先获得下载列表:http://d.93se.com/listo.txt
然后下载木马,释放到c:\Program Files\,命名为:
c:\Program Files\lsassu.exe
c:\Program Files\lsasst.exe
c:\Program Files\lsasss.exe
c:\Program Files\lsassr.exe
c:\Program Files\lsassq.exe
c:\Program Files\lsassp.exe
c:\Program Files\lsasso.exe
c:\Program Files\lsassn.exe
c:\Program Files\lsassm.exe
c:\Program Files\lsassl.exe
c:\Program Files\lsassk.exe
c:\Program Files\lsassj.exe
c:\Program Files\lsassi.exe
c:\Program Files\lsassh.exe
c:\Program Files\lsassf.exe
c:\Program Files\lsasse.exe
c:\Program Files\lsassd.exe
c:\Program Files\lsassc.exe
c:\Program Files\lsassb.exe
c:\Program Files\lsassa.exe
c:\Program Files\lsass9.exe
c:\Program Files\lsass8.exe
c:\Program Files\lsass7.exe
c:\Program Files\lsass6.exe
c:\Program Files\lsass5.exe
c:\Program Files\lsass4.exe
c:\Program Files\lsass3.exe
c:\Program Files\lsass2.exe
c:\Program Files\lsass1.exe
c:\Program Files\lsass0.exe
有大话、梦幻、征途、三国、QQ、QQgame、机战、魔域、大话3、传奇等木马。
5、释放fat32.sys驱动,注册为PciHardDisk。
会访问磁盘底层,修改userinit.exe。但我阻止了~
其他没跟踪,就直接运行了~主要特征就是上面这些。
解决方法就是从dllcache把正常的userinit.exe覆盖到原来的地方。
然后删除c:\Program Files\的那些东西,还有wxptdi.sys和fat32.sys。
注意啊,这2个的路径都是在C:\windows\system32\下的
C:\windows\system32\fat32.sys
C:\windows\system32\wxptdi.sys
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/1bccac02ebd8170c4bfb51d3.html
只不过做了一些变动,载体为随机命名的~
好了,简单分析下:
1、释放文件方面:
2个SYS文件,其中一个是PE文件,病毒的副本。
wxptdi.sys 77824 字节
fat32.sys
注意啊,这2个的路径都是在C:\windows\system32\下的
2、调用一个P处理tmipo.bat,执行stop sharedaccess命令。
3、控制系统文件svchost,加载在内存中。
4、连接网络先获得下载列表:http://d.93se.com/listo.txt
然后下载木马,释放到c:\Program Files\,命名为:
c:\Program Files\lsassu.exe
c:\Program Files\lsasst.exe
c:\Program Files\lsasss.exe
c:\Program Files\lsassr.exe
c:\Program Files\lsassq.exe
c:\Program Files\lsassp.exe
c:\Program Files\lsasso.exe
c:\Program Files\lsassn.exe
c:\Program Files\lsassm.exe
c:\Program Files\lsassl.exe
c:\Program Files\lsassk.exe
c:\Program Files\lsassj.exe
c:\Program Files\lsassi.exe
c:\Program Files\lsassh.exe
c:\Program Files\lsassf.exe
c:\Program Files\lsasse.exe
c:\Program Files\lsassd.exe
c:\Program Files\lsassc.exe
c:\Program Files\lsassb.exe
c:\Program Files\lsassa.exe
c:\Program Files\lsass9.exe
c:\Program Files\lsass8.exe
c:\Program Files\lsass7.exe
c:\Program Files\lsass6.exe
c:\Program Files\lsass5.exe
c:\Program Files\lsass4.exe
c:\Program Files\lsass3.exe
c:\Program Files\lsass2.exe
c:\Program Files\lsass1.exe
c:\Program Files\lsass0.exe
有大话、梦幻、征途、三国、QQ、QQgame、机战、魔域、大话3、传奇等木马。
5、释放fat32.sys驱动,注册为PciHardDisk。
会访问磁盘底层,修改userinit.exe。但我阻止了~
其他没跟踪,就直接运行了~主要特征就是上面这些。
解决方法就是从dllcache把正常的userinit.exe覆盖到原来的地方。
然后删除c:\Program Files\的那些东西,还有wxptdi.sys和fat32.sys。
注意啊,这2个的路径都是在C:\windows\system32\下的
C:\windows\system32\fat32.sys
C:\windows\system32\wxptdi.sys
相关文章推荐
- 机器狗变种,简单分析
- 推荐榜单新上榜游戏的超简单分析(11月9日)i
- 推荐榜单新上榜游戏的超简单分析(11月16日)
- 推荐榜单新上榜游戏的超简单分析[4.27]iPhone
- DELPHI中完成端口(IOCP)的简单分析(4) 推荐
- 推荐榜单新上榜游戏的超简单分析[8.24]iPhone
- RecSys的Yelp推荐比赛数据简单分析
- 再次推荐SQLPrompt3 -简单破解无限期的使用这款很不错的SQL查询分析工具
- DELPHI中使用Tlist类的简单分析 推荐
- 百度IM的简单分析 推荐
- 推荐榜单新上榜游戏的超简单分析[7.13]iPhone
- 推荐榜单新上榜游戏的简单分析【11月22日】
- 推荐SQLPrompt3 -简单破解无限期的使用这款很不错的SQL查询分析工具
- <五>、简单分析基于物品的 CF(Item CF)推荐算法
- 推荐榜单新上榜游戏的超简单分析[8.17]iPhone
- 推荐榜单新上榜游戏的超简单分析[5.4]iPhone
- DELPHI中使用Tlist类的简单分析(补充) 推荐
- 磁碟机变种简单分析(lsass.exe、smss.exe、dnsq.dll、NetApi000.sys)
- 推荐榜单新上榜游戏的超简单分析[6.8]iPhone