生平在看雪的第一篇帖子,本人小菜,就拿一简单病毒入手,大牛们见笑....
病毒信息:
病毒类型: 后门
文件 MD5: 2A1AEF106795864CA9DB643A116807DC
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
病毒行为:
释放文件:
c:\WINDOWS\Fonts\wuauclt.exe
病毒行为:
1. 提升自身权限;
2. 加载urlmon.dll,得到URLDownloadToFile函数的地址.调用函数下载病毒文件http://360.1s.fr/ps.jpg到c:\windwos\fonts\gern.fon目录下。
3. 在c盘根目录下生成sa.exe文件,设置文件为文件夹样式并设置为隐藏属性。运行sa.exe,然后调用CMD命令结束wuault(系统自动更新)进程,然后将病毒本身拷贝到system下的font目录中并重新命名为wuault.exe。病毒运行font目录下的wuault程序后,调用cmd命令删除自体。
0012FBFC 0040247E ~$@. /CALL 到 WinExec 来自 dumped_.0040247C
0012FC00 0012FF20 . |CmdLine = "cmd /c del "C:\Documents and Settings\commander\桌面\dumped_.exe""
0012FC04 00000000 .... \ShowState = SW_HIDE
0012FC08 7C930738 8 ntdll.7C930738
4.将病毒信息保存在c:\windows\font\gern.fon文件中,从这个文件中读取信息并设置为IE首页。
5.开启1083端口等待网络连接..
附件:样本文件及加壳后文件。。因为是病毒所以加了密码,解压密码为:xiaoju
- 标 题:一个简单病毒的分析
- 作 者:小驹
- 时 间:2010-08-19 17:37:23
- 链 接:http://bbs.pediy.com/showthread.php?t=118848