Trojan.Win32病毒源码分析
该病毒为木马类,病毒运行后复制自身到系统目录,衍生病毒文件,并删除自身。 创建服务,并以服务的方式达到随机启动的目的。设置远程线程来执行2b79.dll、4e92.dll,在执行时插入到EXPLORER.EXE进程和其它相关进程中。主动连接网络,下载相关病毒文件信息。
怎样修改修改注册表,以达到e92b.dll随Browser启动的目的:
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{66C2C482-D4EE-42A5-AEF7-0B124F278D47}/InprocServer32
键值: 字串: " 默认 " = "%System32%/e92b.dll"
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{66C2C482-D4EE-42A5-AEF7-0B124F278D47}/InprocServer32
键值: 字串: " ThreadingModel " = "Apartment"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{66C2C482-D4EE-42A5-AEF7-0B124F278D47}/
查找EXPLORER.EXE和其它相关进程信息;设置远程线程来执行2b79.dll、4e92.dll,在执行时将2b79.dll、4e92.dll插入到EXPLORER.EXE进程和其它相关进程中。
创建服务,并以服务的方式达到随机启动的目的:
服务名称:EmonSrv
显示名称:error monitor
描述: 空
可执行文件的路径:%System32%/92b7.exe
启动方式:自动
主动连接网络,下载相关病毒文件信息:
地址:端口
343.boolans.com(60.217.234.138):80
777.boolans.com(219.148.38.241):80
221.238.193.106:81
下载文件如下:
s1012.exe
ut_HL.y
bl.y
blog.updata
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%/当前用户/Local Settings/Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:/Winnt/System32;
Windows95/98/Me中默认的安装路径是 C:/Windows/System;
WindowsXP中默认的安装路径是 C:/Windows/System32
|
一、病毒标签:病毒名称: Trojan.Win32.Obfuscated.fd病毒类型: 木马类文件 MD5: B88B04861BB351A6E13F7F839C12DF1C公开范围: 完全公开危害等级: 3文件长度: 424,656 字节感染系统: windows 98以上版本加 ... 一、病毒标签: 二、病毒描述: 该病毒为木马类,病毒运行后复制自身到系统目录,衍生病毒文件,并删除自身。 创建服务,并以服务的方式达到随机启动的目的。设置远程线程来执行2b79.dll、4e92.dll,在执行时插入到EXPLORER.EXE进程和其它相关进程中。主动连接网络,下载相关病毒文件信息。 三、行为分析: 1、病毒运行后释放文件: 2、修改注册表,以达到e92b.dll随Browser启动的目的: 3、查找EXPLORER.EXE和其它相关进程信息;设置远程线程来执行2b79.dll、4e92.dll,在执行时将2b79.dll、4e92.dll插入到EXPLORER.EXE进程和其它相关进程中。 4、创建服务,并以服务的方式达到随机启动的目的: 5、主动连接网络,下载相关病毒文件信息: 注释: 四、 清除方案: (3)删除病毒添加的注册表项 (4)禁用服务92b7.exe |
Trojan.Win32病毒源码分析相关推荐
- 高仿带感魔性病毒源码+成品(最近很火的)
高仿带感魔性病毒源码+成品(最近很火的) 娱乐使用.没破坏性 会改壁纸和打乱桌面图标顺序 自己改回来就好 演示地址: 下载地址:链接: http://pan.baidu.com/s/1dF2ZlU5 ...
- 病毒源代码Java_金猪报喜病毒源码 - 开源中国社区.pdf
金猪报喜病毒源码 - 开源中国社区 2015年4月22 日 金猪报喜病毒源码 - 开源中国社区 首页 开源项 目 Java 开源软件 C# 开源软件 PHP 开源软件 C/C++ 开源软件 Ruby ...
- Windows病毒源码
有几个Windows小virus,大家一起分享啦~ 鼠标乱闪C++: #include<bits/stdc++.h> #include<windows.h> #pragma c ...
- Trojan/Win32.QQpass.wsy[stealer]分析
Trojan/Win32.QQpass.wsy[stealer]分析 出处:安天实验室 时间:2011年8月22日 病毒标签 病毒名称:Trojan/Win32.QQpass.wsy[stea ...
- Trojan/Win32.TDSS.eyj[Rootkit]分析
病毒标签: 病毒名称: Trojan/Win32.TDSS.eyj[Rootkit] 病毒类型: 后门 文件 MD5: 45433E3C1489F1F64798BC82BFA21864 公开范围: 完 ...
- c语言写骷髅病毒源码,骷髅病毒分析报告
一:目录 1.样本信息 2.行为分析 3.样本分析 4.详细分析 二:样本信息 1.样本名称:样本.exe(脱壳后为样本dump.exe) 2.md5:5b8bc92296c2fa60fecc6316 ...
- c语言格式化 病毒源码,【病毒】震荡波病毒C语言源码
该楼层疑似违规已被系统折叠 隐藏此楼查看此楼 /* #i nclude #i nclude #i nclude #i nclude #i nclude #define NORM "\033[ ...
- VB 感染EXE 程序病毒源码
使大家清楚认识病毒程序的运行机理,提高自身程序的抵抗力. 说明: 1.本代码目前仅是实验模型,给新手讲解原理之用,不会失控,绝对安全. 2.本代码仅实现了感染EXE的功能,其他的功能还须你自己加入. ...
- 一个简易的c语言病毒源码,求简单病毒代码
该楼层疑似违规已被系统折叠 隐藏此楼查看此楼 #include #include void main(void) { virus(); } int virus() { struct ffblk ffb ...
最新文章
- interrupt分析
- 5、Power View—图块与切片器的应用
- [codevs 1906] 最长递增子序列问题
- 复仇!3:1 KO叙利亚!.NET程序员用算法推演出国足进世界杯概率...
- 关于算法--分治法--合并排序
- 二叉搜索树 (BST)
- python 安装xpath_python中使用XPath笔记
- 【服务器】宝塔LNMP安装Discuz!
- Abseil之Prefer Factory Functions to Initializer Methods
- LNMP平台部署及应用
- 电脑更新系统时间显示rpc服务器不可用,win7系统时间同步出错RPC服务器不可用的解决方法...
- 计算机上键盘无法输入法,电脑中输入法设置窗口提示检测到不兼容的键盘驱动的解决方法...
- 集训模拟赛改题及总结(7月part)
- ajax有哪些回调函数
- CoffeeScript基础
- 科学计算机统计说明书,科学计算机带哪些功能_科学计算机怎么用_科学计算机使用方法...
- dakai微信小程序 ios_【iOS】微信小程序打开APP到底是怎么回事?
- java 设置 cors,Spring MVC配置CORS
- Mysql数据库命令大全(一)
- 从零开始搭建Node.js, Express, Ejs, Mongodb服务器