扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
病毒名称(中文):木马下载器24576
威胁级别:★☆☆☆☆
病毒类型:木马下载器
病毒长度:24576
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个木马下载器程序。它行为较为单一,病毒作者为它设置了花指令,试图干扰反病毒工作人员的分析。
1.病毒开始处为花指令,病毒中间也夹杂着部分花指令,不过形式比较单一。
2.病毒检查命令行参数,若无,则开始作为Downloader运行。病毒解密所需要字符串。
3.病毒调用rand生成系列随机数作为文件名。
4.病毒调用GetTempPathA取临时文件路径及windows路径。
5.病毒调用上面的解密函数,解密下面使用的dll和api地址。
6.病毒调用LoadLibrary加载上面解密的dll并调用GetProcAddress取函数地址,并检查上面取得的函数地址是否为空。
7.病毒取当前时间作为随机数种子,继续解密并调用sprintf拼接下载链接。
8.病毒检查链接,并调用DnsQuery_A查询域名,然后依次调用InternetOpenA、InternetConnectA、HttpOpenRequestA、HttpSendRequestA、HttpQueryInformation,循环调用InternetQueryDataAvailable、InternetReadFile下载文件。
9.病毒创建临时文件,并将下载的文件保存。病毒检测Windows目录下是否有同名文件,若存在,则调用DeleteFile删除文件,然后将下载的临时文件移动到Windows目录下。
10.病毒调用CreateProcessA讲下载文件作为参数执行自身后,结束。
11.病毒自身运行时,检查命令行参数,若带参数,则调用CreateProcess将参数作为CommandLine启动后,退出。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。