扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
这是一个木马下载器。它经过一定的加壳处理,并会伪装成系统内服务与时间服务器通讯的相关文件来欺骗用户和安全软件,确保自己能够常驻系统。
1.病毒释放文件如下:
X:\WINDOWS\System32\dnabeser.dat;
X:\WINDOWS\System32\a0eea5d11f.dll;
X:\WINDOWS\System32\oobe\cbdorebvi.dll(文件名是9位随机字母),用regsvr32.exe /s命令注册该dll;
X:\WINDOWS\a092be3f20.dll;
新建目录"X:\WINDOWS\System32\oobe\8371(文件夹名是4位随机数字),利用cacls /t /e /g everyone:f命令获取目录完全控制权限; explorer.exe /e
2.修改注册表中配置时间服务器的dll,伪造Windows Time W32Time服务;
HKLM\SYSTEM\CurrentControlSet\Services\w32time\Parameters,
"ServiceDll"=C:\WINDOWS\System32\oobe\cbdorebvi.dll
3.病毒复制副本文件到系统内:
X:\WINDOWS\System32\oobe\8371\svchost.exe;
4.将自身添加到windows防火墙例外列表中,使防火墙不拦截病毒连接网络的操作
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List,
"X:\WINDOWS\System32\oobe\5312\svchost.exe"=X:\WINDOWS\System32\oobe\5312\svchost.exe
5.到指定地址http://www.q***dong.cn/usersetup.asp去读取下载列表,下载其它木马等用户机器中运行。
6.创建bat文件删除病毒原文件,清除病毒痕迹。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。