扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
这是一个木马下载器。该病毒通过给QQ好友发送名为“陈冠希原版相片”的rar格式压缩文件来进行传播,一旦进入用户系统,就会劫持安全软件,并在各驱动器下建立AUTO文件来自启动。然后下载40多种木马程序到用户电脑中运行,造成无法预计的损失。
1. 判断autoruninf是否存在,存在获取当前运行的病毒路径的驱动器名,然后打开驱动器,
不存在,跳过。
2. 提权限SeDebugPrivilege 然后用TerminateProcess来结束进程
360Safe.exe 360tray.exe VsTskMgr.exe Runiep.exe RAS.exe UpdaterUI.exe TBMon.exe
KASARP.exe scan32.exe VPC32.exe VPTRAY.exe ANTIARP.exe KRegEx.exe KvXP.kxp
kvsrvxp.kxp kvsrvxp.exe KVWSC.EXE Iparmor.exe AST.EXE
3. 向#32770 发送PostMessageA WM_COMMAND 然后再发送8002消息。
4. 改时间为2002 年。
5. 将C:\WINDOWS\system32\urlmon.dll复制到C:\WINDOWS\system32\syurl.dll。(为了躲
避安全软件对urlmon.dll的监控)
6. 用ShellExecuteA调用cacls给
C:\WINDOWS\system32\packet.dll /e /p everyone:f
"C:\WINDOWS\system32\pthreadVC.dll /e /p everyone:f
"C:\WINDOWS\system32\wpcap.dll /e /p everyone:f"
"C:\WINDOWS\system32\drivers\npf.sys /e /p everyone:f"
"C:\WINDOWS\system32\npptools.dll /e /p everyone:f"
"C:\WINDOWS\system32\wanpacket.dll /e /p everyone:f"
"C:\WINDOWS\system32\drivers\acpidisk.sys /e /p everyone:f"
给everyone 用户组(就是所有人)对packet.dll pthreadVC.dll wpcap.dll npf.sys npptools.dll
wanpacket.dll acpidisk.sys 的完全控制
7. 调用CMD 来停止安全软件的服务
cmd /c net stop McShield
cmd /c net stop KWhatchsvc
cmd /c net stop KPfwSvc
cmd /c net stop "Norton AntiVirus Server"
8. 用"C:\Program Files\Internet Explorer\IEXPLORE.EXE"打开
http://www.b***uoo.com/tj.htm 来欺骗用户,降低用户的怀疑。
9. 将自身拷贝到"C:\WINDOWS\system32\wuauc1t.exe",并将属性改为系统隐藏。
10. 扫描(C~Z)用GetDriveTypeA 来判断当前驱动器是DRIVE_FIXED 是就复制
explorer.pif ,然后会删除本驱动器下的autorun.inf,创建一个自己的autorun.inf。
11. 读"Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE",并WinExec
启动。
12. 通过FindWindows "IEFrame" 打开”IEXPLORE.EXE”将下载部分写入 LoadLibraryA
(kernel32.dll user32.dll Shell32.dll syurl.dll(urlmon.dll的拷贝))GetProcAddress获取
URLDownloadToFileA
13. 下载列表http://www.b***uoo.com/****
14. 修改"SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden
\showall\"的CheckedValue项改为0(默认为1)
15. 删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
\{4D36E967-E325-11CE-BFC1-08002BE10318},来破坏安全模式。
16. 镜项劫持"C:\WINDOWS\system32\wuauc1t.exe"
360rpt.EXE 360safe.EXE 360tray.EXE AVP.EXE AvMonitor.EXE CCenter.EXE
IceSword.EXE Iparmor.EXE KVMonxp.kxp KVSrvXP.EXE KVWSC.EXE Navapsvc.EXE
Nod32kui.EXE KRegEx.EXE Frameworkservice.EXE Mmsk.EXE Wuauclt.EXE Ast.EXE
WOPTILITIES.EXE Regedit.EXE AutoRunKiller.exe VPC32.exe VPTRAY.exe
ANTIARP.exe KASARP.exe QQDOCTOR.EXE
17. 截获到#32770发送WM_GETTEXT判断是否成功,并获取标题是不是“与XX 聊天中”
成功删除%TempPath%\陈冠希原版相片.rar 将刚下载的c:\sys.pif 复制到%TempPath%\
陈冠希原版相片.rar 向#32770 发送WM_DROPFILES 并发送%TempPath%\陈冠希原
版相片.rar 当对方不在线时 模拟鼠标按键点否。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者