扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
机器狗下载器Trojan-Downloader.Win32.EDog.t
该程序是使用Delphi编写的下载程序,由微点主动防御软件自动捕获,采用UPack加壳方式试图躲避特征码扫描,加壳后长度11,428字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。
病毒分析
该木马程序被执行后,拷贝自身到C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录下,重命名为Display3D.exe;通过API函数CreateProcessA运行Display3D.exe;以批处理的方式将病毒原文件删除。Display3D.exe运行后,在目录%temp%目录下释放驱动usbcams3.sys,调用SCM写注册表项将usbcams3.sys注册成名为Sc Manager的服务,通过相关函数启动被注册的服务加载驱动,加载成功后使用API函数DeleteFileA将驱动文件usbcams3.sys删除;遍历进程查找部分杀毒软件进程,利用驱动usbcams3.sys将杀毒软件进程关闭;在目录%temp%下释放又一驱动usbhcid.sys,调用SCM写注册表项将usbhcid.sys注册成名为iCafe Manager的服务,通过相关函数启动被注册的服务加载驱动,加载成功后使用API函数DeleteFileA将驱动文件usbhcid.sys删除;驱动加载后创建磁盘设备“\Device\yyy2”,创建目录对象“\Device\zzz”,通过函数DeviceIoControl调用相关控制码得到主DOS分区信息并获取设备号后关闭句柄;打开设备“\Device\yyy2”通过DeviceIoControl传递自身控制码8000F800访问物理磁盘,利用CopyFileA函数将启动组中的病毒文件拷贝到“\\.\yyy2”中,以达到突破还原卡的目的;访问恶意网站H**p://jx.llzjz.cn/logo.jpg.将其它病毒程序下载列表下载到本地%systemroot%\system32目录下,命名为win.ini,通过读取下载列表win.ini下载大量病毒程序和盗号木马到本地并运行。
技术细节
病毒修改注册表项:
Quote: | |
|
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。