金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
dll运行后: 改变进程的当前目录为sys32目录 (1): 创建线程ThreadProc1:
行为分析:
这是某黑客远程程序的组成模块。它的任务是帮助黑客程序母体实现更新,以获取最新的功能与指令。
:
影响系统:
Win9x,WinMe,Linux
简介:
dll运行后: 改变进程的当前目录为sys32目录 (1): 创建线程ThreadProc1:
行为分析:
这是某黑客远程程序的组成模块。它的任务是帮助黑客程序母体实现更新,以获取最新的功能与指令。
描述:
dll运行后:
改变进程的当前目录为sys32目录
(1):
创建线程ThreadProc1:
根据不同的应用选择C:WINDOWSsystem32scheme.ini中的"Windata""UrlDll""UrlEx"节中的字符串作为cmdline
获取成功,调用获取的cmdline,运行cmdline
(2)线程ThreadProc2:
申请一块与scheme.ini同样大小的内存块Buffer1,Buffer2,Buffer3,Buffer4(做更新用),从scheme.ini中读出4段数据file1,file2,file3,file4。
线程ThreadProc2中创建线程ThreadProc3,
从scheme.ini中选择cmdline,依次检查Buffer1,Buffer2,Buffer3,Buffer4中是否有数据(原本为空),如果有的话,则用对应的Buffer中的数据更新对应的File1,File2,File3,File4中的数据,写入文件,设为系统隐藏,实现对scheme.ini的更新。
从更新后的sys32scheme.ini中根据UrlEx,Windata,UrlDll,选择cmdline,执行与线程ThreadProc1中同样的CreateProcess新建进程操作。
设置一个循环重复执行上述动作。
线程ThreadProc3,
循环检查Buffer1~Buffer4中是否有更新数据,有的话就更新File1~File4,scheme.ini。
dll运行后:
改变进程的当前目录为sys32目录
(1):
创建线程ThreadProc1:
根据不同的应用选择C:WINDOWSsystem32scheme.ini中的"Windata""UrlDll""UrlEx"节中的字符串作为cmdline
获取成功,调用获取的cmdline,运行cmdline
(2)线程ThreadProc2:
申请一块与scheme.ini同样大小的内存块Buffer1,Buffer2,Buffer3,Buffer4(做更新用),从scheme.ini中读出4段数据file1,file2,file3,file4。
线程ThreadProc2中创建线程ThreadProc3,
从scheme.ini中选择cmdline,依次检查Buffer1,Buffer2,Buffer3,Buffer4中是否有数据(原本为空),如果有的话,则用对应的Buffer中的数据更新对应的File1,File2,File3,File4中的数据,写入文件,设为系统隐藏,实现对scheme.ini的更新。
从更新后的sys32scheme.ini中根据UrlEx,Windata,UrlDll,选择cmdline,执行与线程ThreadProc1中同样的CreateProcess新建进程操作。
设置一个循环重复执行上述动作。
线程ThreadProc3,
循环检查Buffer1~Buffer4中是否有更新数据,有的话就更新File1~File4,scheme.ini。
回复
评论病毒
