| 订阅 | 在线投稿
分享
 
 
 

Win32.Hack.Agent.sr.28672

来源:互联网  宽屏版  评论
2008-08-14 23:14:12

病毒名称(中文):

木马更新模块28672

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

28672

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是某黑客远程程序的组成模块。它的任务是帮助黑客程序母体实现更新,以获取最新的功能与指令。

dll运行后:

改变进程的当前目录为sys32目录

(1):

创建线程ThreadProc1:

根据不同的应用选择C:\WINDOWS\system32\scheme.ini中的"Windata""UrlDll""UrlEx"节中的字符串作为cmdline

获取成功,调用获取的cmdline,运行cmdline

(2)线程ThreadProc2:

申请一块与scheme.ini同样大小的内存块Buffer1,Buffer2,Buffer3,Buffer4(做更新用),从scheme.ini中读出4段数据file1,file2,file3,file4。

线程ThreadProc2中创建线程ThreadProc3,

从scheme.ini中选择cmdline,依次检查Buffer1,Buffer2,Buffer3,Buffer4中是否有数据(原本为空),假如有的话,则用对应的Buffer中的数据更新对应的File1,File2,File3,File4中的数据,写入文件,设为系统隐藏,实现对scheme.ini的更新。

从更新后的sys32\scheme.ini中根据UrlEx,Windata,UrlDll,选择cmdline,执行与线程ThreadProc1中同样的CreateProcess新建进程操作。

设置一个循环重复执行上述动作。

线程ThreadProc3,

循环检查Buffer1~Buffer4中是否有更新数据,有的话就更新File1~File4,scheme.ini。

病毒名称(中文): 木马更新模块28672 病毒别名: 威胁级别: ★☆☆☆☆ 病毒类型: 木马程序 病毒长度: 28672 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是某黑客远程程序的组成模块。它的任务是帮助黑客程序母体实现更新,以获取最新的功能与指令。 dll运行后: 改变进程的当前目录为sys32目录 (1): 创建线程ThreadProc1: 根据不同的应用选择C:\WINDOWS\system32\scheme.ini中的"Windata""UrlDll""UrlEx"节中的字符串作为cmdline 获取成功,调用获取的cmdline,运行cmdline (2)线程ThreadProc2: 申请一块与scheme.ini同样大小的内存块Buffer1,Buffer2,Buffer3,Buffer4(做更新用),从scheme.ini中读出4段数据file1,file2,file3,file4。 线程ThreadProc2中创建线程ThreadProc3, 从scheme.ini中选择cmdline,依次检查Buffer1,Buffer2,Buffer3,Buffer4中是否有数据(原本为空),假如有的话,则用对应的Buffer中的数据更新对应的File1,File2,File3,File4中的数据,写入文件,设为系统隐藏,实现对scheme.ini的更新。 从更新后的sys32\scheme.ini中根据UrlEx,Windata,UrlDll,选择cmdline,执行与线程ThreadProc1中同样的CreateProcess新建进程操作。 设置一个循环重复执行上述动作。 线程ThreadProc3, 循环检查Buffer1~Buffer4中是否有更新数据,有的话就更新File1~File4,scheme.ini。
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有