技术解析木马下载器24576干扰原理

病毒名称(中文)：木马下载器24576

威胁级别：★☆☆☆☆

病毒类型：木马下载器

病毒长度：24576

影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为：

这是一个木马下载器程序。它行为较为单一，病毒作者为它设置了花指令，试图干扰反病毒工作人员的分析。

1.病毒开始处为花指令，病毒中间也夹杂着部分花指令，不过形式比较单一。

2.病毒检查命令行参数，若无，则开始作为Downloader运行。病毒解密所需要字符串。

3.病毒调用rand生成系列随机数作为文件名。

4.病毒调用GetTempPathA取临时文件路径及windows路径。

5.病毒调用上面的解密函数，解密下面使用的dll和api地址。

6.病毒调用LoadLibrary加载上面解密的dll并调用GetProcAddress取函数地址，并检查上面取得的函数地址是否为空。

7.病毒取当前时间作为随机数种子，继续解密并调用sprintf拼接下载链接。

8.病毒检查链接，并调用DnsQuery_A查询域名，然后依次调用InternetOpenA、InternetConnectA、HttpOpenRequestA、HttpSendRequestA、HttpQueryInformation，循环调用InternetQueryDataAvailable、InternetReadFile下载文件。

9.病毒创建临时文件，并将下载的文件保存。病毒检测Windows目录下是否有同名文件，若存在，则调用DeleteFile删除文件，然后将下载的临时文件移动到Windows目录下。

10.病毒调用CreateProcessA讲下载文件作为参数执行自身后，结束。

11.病毒自身运行时，检查命令行参数，若带参数，则调用CreateProcess将参数作为CommandLine启动后，退出。