科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道技术解析木马下载器184320破坏原理

技术解析木马下载器184320破坏原理

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Win32.Troj.Agent.pv.184320病毒为VC编写的下载器程序。它会不停的下载其它病毒到用户电脑中。病毒作者为它设置了大量的垃圾代码,试图干扰反病毒工作人员的分析。

来源:论坛整理 2008年10月4日

关键字: 安全防范 病毒资料 病毒查杀

  • 评论
  • 分享微博
  • 分享邮件
Win32.Troj.Agent.pv.184320病毒为VC编写的下载器程序。它会不停的下载其它病毒到用户电脑中。病毒作者为它设置了大量的垃圾代码,试图干扰反病毒工作人员的分析。

病毒名称(中文):木马下载器184320

威胁级别:★☆☆☆☆

病毒类型:木马下载器

病毒长度:184320

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

此病毒为VC编写的下载器程序。它会不停的下载其它病毒到用户电脑中。病毒作者为它设置了大量的垃圾代码,试图干扰反病毒工作人员的分析。

1.病毒调用GetVolumeInformationA取磁盘信息,调用GetSystemDirectoryA取系统目录,生成文件路径,病毒检查此文件是否存在,若不存在,则建立文件,并写入标记信息(pv0070)。

2.病毒调用GetWindowsDirectoryA取Windows路径,并调用GetTempFileNameA生成临时文件路径,此文件用于后面病毒获取下载信息文件。

3.病毒解密并拼合URL供下载使用(8*8.8*3call.cn/pw.ini)。

4.病毒调用InternetCrackUrlA、InternetOpenA、InternetConnectA、HttpOpenRequestA、HttpSendRequestA、HttpQueryInfoA、InternetReadFile及WriteFile将病毒信息文件写入上一步生成的临时文件中,此文件为.ini格式文件,文件内容如下:

[main]
u=http://2*9.1*8.34.9/dmmodule/zzz.exe
c=/S

5.病毒调用GetPrivateProfileStringA取下载路径,并删除临时文件。

6.病毒再次取临时文件路径,使用同上面相同函数下载如上url中的文件,每4k写入一次文件,直至完成。

7.病毒调用LoadLibrary取Kernel32.dll的hModule,并调用GetProcess取CreateProcess函数地址,并调用,以自行刚刚下载的文件。

8.病毒等待文件执行完成,调用DeleteFile删除文件后退出。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章