这是一个病毒下载器程序。其本身是一个由汇编语言编写的感染型病毒,可通过感染系统中正常的可执行文件进行传播。在电脑中运行后就会下载其它木马文件。
1.病毒修改原文件入口处连续代码,并将原代码保存于病毒代码处。
2.病毒替换原入口处代码为解密病毒自身,并转入病毒代码执行。病毒替换了原文件0x4000字节的代码,并加密后保存于文件末尾。
3.病毒使用自身携带的导入表替换原文件的引入表,以方便自身使用。
4.病毒取自身需要使用的函数地址。复原被感染文件入口点处代码。
5.病毒创建新线程以完成病毒操作。
6.病毒载荷为,检查C:\WINDOWS\system32\vssrvc.exe文件是否存在,并从以下地址下载并执行。
http://www.se***h__stb_z.com/vssrvc.exe
7.病毒读取原文件引入表位置,并解析引入表结构,调用Loadlibrary与GetProcAddress修复原文件引入表,并修复原文件文件头部,并转入原文件入口处执行。
京公网安备 11010802021500号