科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道技术解析木马下载器24576干扰原理

技术解析木马下载器24576干扰原理

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Win32.TrojDownloader.Agent.ha.24576是一个木马下载器程序。它行为较为单一,病毒作者为它设置了花指令,试图干扰反病毒工作人员的分析。

来源:论坛整理 2008年10月4日

关键字: 安全防范 病毒查杀 病毒资料

  • 评论
  • 分享微博
  • 分享邮件
Win32.TrojDownloader.Agent.ha.24576是一个木马下载器程序。它行为较为单一,病毒作者为它设置了花指令,试图干扰反病毒工作人员的分析。

病毒名称(中文):木马下载器24576

威胁级别:★☆☆☆☆

病毒类型:木马下载器

病毒长度:24576

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个木马下载器程序。它行为较为单一,病毒作者为它设置了花指令,试图干扰反病毒工作人员的分析。

1.病毒开始处为花指令,病毒中间也夹杂着部分花指令,不过形式比较单一。

2.病毒检查命令行参数,若无,则开始作为Downloader运行。病毒解密所需要字符串。

3.病毒调用rand生成系列随机数作为文件名。

4.病毒调用GetTempPathA取临时文件路径及windows路径。

5.病毒调用上面的解密函数,解密下面使用的dll和api地址。

6.病毒调用LoadLibrary加载上面解密的dll并调用GetProcAddress取函数地址,并检查上面取得的函数地址是否为空。

7.病毒取当前时间作为随机数种子,继续解密并调用sprintf拼接下载链接。

8.病毒检查链接,并调用DnsQuery_A查询域名,然后依次调用InternetOpenA、InternetConnectA、HttpOpenRequestA、HttpSendRequestA、HttpQueryInformation,循环调用InternetQueryDataAvailable、InternetReadFile下载文件。

9.病毒创建临时文件,并将下载的文件保存。病毒检测Windows目录下是否有同名文件,若存在,则调用DeleteFile删除文件,然后将下载的临时文件移动到Windows目录下。

10.病毒调用CreateProcessA讲下载文件作为参数执行自身后,结束。

11.病毒自身运行时,检查命令行参数,若带参数,则调用CreateProcess将参数作为CommandLine启动后,退出。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章