看看病毒技术分析报告,为了更好的预防病毒
http://zhaoyong.lvhua.com > 加入收藏夹 会员登陆 | 园林公社 | 园林在线首页
赵勇
我的首页 我的博客 我的相册 我的收藏 我的留言 我的好友 我的企业
[ 申请成为好友 ] [ 给我留言 ]
昵称:小宝
性别:男
年龄:24
星座:射手座 Sagittarius
所在地:上海 宝山
户口地:上海 宝山
身高:168
身份:园林景观设计
联系方式:仅好友可见
> >
日 一 二 三 四 五 六
1...
http://zhaoyong.lvhua.com > 加入收藏夹 会员登陆 | 园林公社 | 园林在线首页
赵勇
我的首页 我的博客 我的相册 我的收藏 我的留言 我的好友 我的企业
[ 申请成为好友 ] [ 给我留言 ]
昵称:小宝
性别:男
年龄:24
星座:射手座 Sagittarius
所在地:上海 宝山
户口地:上海 宝山
身高:168
身份:园林景观
联系方式:仅好友可见
<< 2008年 >> << 6月 >>
日 一 二 三 四 五 六
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30
快速链接
[ 发表文章 ] [ 进入管理 ]
博客搜索
最新评论
为什么找这种人才。有兴..
www.hmdsj.com
有意思!
其实,个人的成长跟他所处..
效果好象还不错......但..
我也是80后今年刚毕业的..
植物是有生命的,同人一..
~~~~~~哈哈哈哈,,看着..
也许你现在有点累, ..
我是学园林技术的.我希..
最热文章
下着大雨的一天
只会哭还想做中层?80后..
十种最有意思的中国人
粗谈植物的过去和现在
30秒清除你电脑中的垃圾..
女孩做妻子前应知道10件事
“90后”是一代什么样的人
刚出来的学子该向"士兵许..
一直思考的问
呵呵
全部 | 沙坑 (1) | 时不我待 (1) | 自信 (1) | 晴朗 (1) | 自我 (1) | 现实 (1) | 生活 (1) | 踏实工作 (1) | 提醒自己 (1) | 新鲜开
始 (1)
“网页病毒下载器”病毒技术细节
这个是一个蠕虫型病毒,通过枚举局域网地址、获取被感染者当前的连接、下载ip地址
信息的方式获取ip地址,并对这些地址尝试进行传播。病毒同时下载程序进行运行。病
毒由VC6语言编写,加壳保护。
1、检查运行状态:
病毒运行后首先检测自己的是否是以“%system32%\IME\svchost.exe”运行,如不是
则进行复制自己等初始化操作,反之则以服务方式运行。
2、初始化操作:
病毒删除“%system32%\IME\svchost.exe”,然后复制自己为该文件,并将属性设置
为系统、隐藏,然后病毒调用CreateProcessA启动“%system32%\IME\svchost.exe”。
病毒启动“%system32%\IME\svchost.exe”后,释放批处理文件rs.bat并执行,以此来
删除自己。
3、注册为服务运行:
病毒通过调用StartServiceCtrlDispatcher、CreateServiceA等函数,注册名称为“Alerter
COM+”、目标为“%system32%\IME\svchost.exe”的服务,然后调用StartServiceA启动
服务。
4、病毒的服务过程
病毒调用CreateMutexA尝试生成名为“"Alerter COM+”的互斥量,如失败则退出,
以此来保证只有一个服务实例在运行。
病毒启动4个工作线程尝试进行网络传播和下载(详细见后面)。
病毒根据标志决定是否对本地固定逻辑盘建立AutoRun机制(详细见后面)。
病毒注册并生成窗口类名为“WebDown”、窗口名为“Alerter COM+”的隐藏窗
口,并启动消息循环,然后向该窗口发送WM_DEVICECHANGE消息。
5、在固定磁盘中建立AutoRun实现自启动:
病毒根据标志(写在病毒内,推测为生成病毒时设置的)决定是否对固定硬盘建立自
动运行机制。
如标志为建立,病毒对c到z逻辑盘调用GetDriveTypeA ,对类型为DRIVE_FIXED的
固定逻辑盘建立自动运行机制。
病毒复制自己到该逻辑盘根目录下,名称为“setup.exe”,并生成AutoRun.inf文件以
达到自动运行,病毒将setup.exe和AutoRun.inf的文件属性设置为系统和隐藏。
6、窗口消息处理:
在窗口循环中,病毒处理如下消息:
WM_CLOSE、WM_DESTROY消息,病毒调用默认窗口处理过程。
WM_CREATE消息,在窗口生成的时候,病毒调用SetTimer建立两个Timer,间隔为1秒
和20分钟,回调方式为接收WM_TIMER消息。
WM_TIMER消息,病毒没隔1秒调用破坏反病毒软件和复制自己的代码(详细见后
面),每隔20分钟尝试下载http://www. XXXXX.cn/jj/svch0st.exe为本地%system32%
\down.exe并运行。
WM_DEVICECHANGE消息,病毒通过处理该消息得到新插入的可移动设备,并对该
设备进行感染(写入病毒并建立AutoRun机制)。
7、破坏反病毒软件和复写文件:
病毒在通过处理WM_TIMER消息,每隔1秒检测并破坏反病毒软件。病毒通过调用
GetCursorPos、WindowFromPoint、GetParent等函数获取当前光标下的窗口及其顶层父
窗口,检测其窗口标题中是否是或包含如下内容:
Windows 任务管理器、安全卫士、扫描、专杀、注册表、Process、进程、木马、防
御、防火墙、病毒、检测、Firewall、virus、anti、金山、江民、卡巴斯基、worm、杀
看看病毒技术分析报告,为了更好的预防病毒 [转载] [2008-1-10]
页码赵勇的博客 - 看看病毒技术分析报告,为了更好的预防病毒 - 园林公社 园林在线个人门户
张颖 很特别的一个上海女..
目前等级:
可用积分:3472
总访问量:125694
注册时间:2007-07-02
上次登录:2008-05-04
统计信息
毒
如包含这些内容,病毒通过向其发送WM_DESTROY、WM_CLOSE消息来破坏这些
窗口,以此来破坏反病毒软件的运行。
病毒通过处理WM_TIMER消息,每隔1秒复制自己并复写注册表,以保护自己。病毒
将自己复制为%system32%下的internt.exe和progmon.exe,并写入如下注册表信息:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = 0X00000000
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Internt" = %SYSTEM%\INTERNT.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Program file" = %SYSTEM%\PROGMON.EXE
工作线程1:
病毒尝试下载http://www.XXXXX.cn/jj/conn.exe为本地%system32%\BindF.exe并运
行。
工作线程2:
病毒从http://www. XXXXX.cn/jj/下载如下文件到%system32%\目录:
ArpW.exe、nogui.exe、wpcap.dll、packet.dll、wanpacket.dll、arp.exe
病毒获取当前网段(例如193.168.0.55),并将最后一个字段替换为%s2-%s255,然后以
如下参数启动ArpW.exe。
“ArpW.exe -idx 0 -ip 193.168.0.2-255 -port 80 -insert "
本文档为【看看病毒技术分析报告,为了更好的预防病毒】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。