金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
病毒名:Win32.Troj.Agent.pv.184320
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1.病毒调用GetVolumeInformationA取磁盘信息,调用GetSystemDirectoryA取系统目录,生成文件路径,病毒检查此文件是否存在,若不存在,则建立文件,并写入标
行为分析:
此病毒为VC编写的下载器程序。它会不停的下载其它病毒到用户电脑中。病毒作者为它设置了大量的垃圾代码,试图干扰反病毒工作人员的分析。
:
影响系统:
Win9x,WinMe,Linux
简介:
1.病毒调用GetVolumeInformationA取磁盘信息,调用GetSystemDirectoryA取系统目录,生成文件路径,病毒检查此文件是否存在,若不存在,则建立文件,并写入标
行为分析:
此病毒为VC编写的下载器程序。它会不停的下载其它病毒到用户电脑中。病毒作者为它设置了大量的垃圾代码,试图干扰反病毒工作人员的分析。
描述:
1.病毒调用GetVolumeInformationA取磁盘信息,调用GetSystemDirectoryA取系统目录,生成文件路径,病毒检查此文件是否存在,若不存在,则建立文件,并写入标记信息(pv0070).
2.病毒调用GetWindowsDirectoryA取Windows路径,并调用GetTempFileNameA生成临时文件路径,此文件用于后面病毒获取下载信息文件。
3.病毒解密并拼合URL供下载使用(8*8.8*3call.cn/pw.ini)。
4.病毒调用InternetCrackUrlA,InternetOpenA,InternetConnectA,HttpOpenRequestA,HttpSendRequestA,HttpQueryInfoA,InternetReadFile及WriteFile将病毒信息文件写入上一步生成的临时文件中,此文件为.ini格式文件,文件内容如下:
[main]
u=http://2*9.1*8.34.9/dmmodule/zzz.exe
c=/S
5.病毒调用GetPrivateProfileStringA取下载路径,并删除临时文件。
6.病毒再次取临时文件路径,使用同上面相同函数下载如上url中的文件,每4k写入一次文件,直至完成。
7.病毒调用LoadLibrary取Kernel32.dll的hModule,并调用GetProcess取CreateProcess函数地址,并调用,以自行刚刚下载的文件。
8.病毒等待文件执行完成,调用DeleteFile删除文件后退出。
1.病毒调用GetVolumeInformationA取磁盘信息,调用GetSystemDirectoryA取系统目录,生成文件路径,病毒检查此文件是否存在,若不存在,则建立文件,并写入标记信息(pv0070).
2.病毒调用GetWindowsDirectoryA取Windows路径,并调用GetTempFileNameA生成临时文件路径,此文件用于后面病毒获取下载信息文件。
3.病毒解密并拼合URL供下载使用(8*8.8*3call.cn/pw.ini)。
4.病毒调用InternetCrackUrlA,InternetOpenA,InternetConnectA,HttpOpenRequestA,HttpSendRequestA,HttpQueryInfoA,InternetReadFile及WriteFile将病毒信息文件写入上一步生成的临时文件中,此文件为.ini格式文件,文件内容如下:
[main]
u=http://2*9.1*8.34.9/dmmodule/zzz.exe
c=/S
5.病毒调用GetPrivateProfileStringA取下载路径,并删除临时文件。
6.病毒再次取临时文件路径,使用同上面相同函数下载如上url中的文件,每4k写入一次文件,直至完成。
7.病毒调用LoadLibrary取Kernel32.dll的hModule,并调用GetProcess取CreateProcess函数地址,并调用,以自行刚刚下载的文件。
8.病毒等待文件执行完成,调用DeleteFile删除文件后退出。
回复
评论病毒
