金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1.病毒开始处为花指令,病毒中间也夹杂着部分花指令,不过形式比较单一。
行为分析:
这是一个木马下载器程序。它行为较为单一,病毒作者为它设置了花指令,试图干扰反病毒工作人员的分析。
:
影响系统:
Win9x,WinMe,Linux
简介:
1.病毒开始处为花指令,病毒中间也夹杂着部分花指令,不过形式比较单一。
行为分析:
这是一个木马下载器程序。它行为较为单一,病毒作者为它设置了花指令,试图干扰反病毒工作人员的分析。
描述:
1.病毒开始处为花指令,病毒中间也夹杂着部分花指令,不过形式比较单一。
2.病毒检查命令行参数,若无,则开始作为Downloader运行。病毒解密所需要字符串。
3.病毒调用rand生成系列随机数作为文件名。
4.病毒调用GetTempPathA取临时文件路径及windows路径。
5.病毒调用上面的解密函数,解密下面使用的dll和api地址。
6.病毒调用LoadLibrary加载上面解密的dll并调用GetProcAddress取函数地址,并检查上面取得的函数地址是否为空。
7.病毒取当前时间作为随机数种子,继续解密并调用sprintf拼接下载链接。
8.病毒检查链接,并调用DnsQuery_A查询域名,然后依次调用InternetOpenA,InternetConnectA,HttpOpenRequestA,HttpSendRequestA,HttpQueryInformation,循环调用InternetQueryDataAvailable,InternetReadFile下载文件。
9.病毒创建临时文件,并将下载的文件保存。病毒检测Windows目录下是否有同名文件,若存在,则调用DeleteFile删除文件,后,将下载的临时文件移动到Windows目录下。
10.病毒调用CreateProcessA讲下载文件作为参数执行自身后,结束。
11.病毒自身运行时,检查命令行参数,若带参数,则调用CreateProcess将参数作为CommandLine启动后,退出。
1.病毒开始处为花指令,病毒中间也夹杂着部分花指令,不过形式比较单一。
2.病毒检查命令行参数,若无,则开始作为Downloader运行。病毒解密所需要字符串。
3.病毒调用rand生成系列随机数作为文件名。
4.病毒调用GetTempPathA取临时文件路径及windows路径。
5.病毒调用上面的解密函数,解密下面使用的dll和api地址。
6.病毒调用LoadLibrary加载上面解密的dll并调用GetProcAddress取函数地址,并检查上面取得的函数地址是否为空。
7.病毒取当前时间作为随机数种子,继续解密并调用sprintf拼接下载链接。
8.病毒检查链接,并调用DnsQuery_A查询域名,然后依次调用InternetOpenA,InternetConnectA,HttpOpenRequestA,HttpSendRequestA,HttpQueryInformation,循环调用InternetQueryDataAvailable,InternetReadFile下载文件。
9.病毒创建临时文件,并将下载的文件保存。病毒检测Windows目录下是否有同名文件,若存在,则调用DeleteFile删除文件,后,将下载的临时文件移动到Windows目录下。
10.病毒调用CreateProcessA讲下载文件作为参数执行自身后,结束。
11.病毒自身运行时,检查命令行参数,若带参数,则调用CreateProcess将参数作为CommandLine启动后,退出。
回复
评论病毒
