扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
这是一个具有对抗安全软件能力的病毒下载器。它通过重定位内核文件恢复系统的SSDT表,从而使一些具有所谓“主动防御”的安全软件失效。接着,就连接远程地址,下载其它病毒。
释放驱动文件,通过重定位内核文件恢复SSDT表.
后台下载恶意软件,创建注册表启动项.
病毒判断当前的操作系统是否 2000、XP或2003,如果不是则不释放驱动文件.
病毒读取自身资源,在 %Temp% 文件夹下释放临时文件,把资源数据写入.(驱动文件)
调用 NtQuerySystemInformation 获得内核文件的名称后,调用相关API加载内核文件得到 KeServiceDescriptorTable 的RVA,然后分析内核文件的重定位表中对此RVA的引用,获取SSDT及系统函数的原始地址.
创建服务名为"winsync32"的系统服务,服务路径指向释放在 %Temp% 文件夹下的临时文件.(驱动文件)
病毒自身提权,把自身复制至 %systemroot%\system32\msosiocp.dll.
枚举进程,把 %systemroot%\system32\msosiocp.dll 注入至 explorer.exe 的进程空间.
从后台下载 http:/ /c.1**dm.com/okok.txt 保存至 %Temp% 下,获取其内容下载恶意程序并执行.
创建注册表:
Key: HKEY_CLASSES_ROOT\CLSID\{AE27505C-C46F-4eb2-9A17-5D1E1F46BC09}\InprocServer32
Value: ""
Data: "%systemroot%\system32\msosiocp.dll"
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Value: "{AE27505C-C46F-4eb2-9A17-5D1E1F46BC09}"
Data: ""
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。