技术解析木马下载器184320破坏原理

病毒名称(中文)：木马下载器184320

威胁级别：★☆☆☆☆

病毒类型：木马下载器

病毒长度：184320

影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为：

此病毒为VC编写的下载器程序。它会不停的下载其它病毒到用户电脑中。病毒作者为它设置了大量的垃圾代码，试图干扰反病毒工作人员的分析。

1.病毒调用GetVolumeInformationA取磁盘信息，调用GetSystemDirectoryA取系统目录，生成文件路径，病毒检查此文件是否存在，若不存在，则建立文件，并写入标记信息(pv0070)。

2.病毒调用GetWindowsDirectoryA取Windows路径，并调用GetTempFileNameA生成临时文件路径，此文件用于后面病毒获取下载信息文件。

3.病毒解密并拼合URL供下载使用(8*8.8*3call.cn/pw.ini)。

4.病毒调用InternetCrackUrlA、InternetOpenA、InternetConnectA、HttpOpenRequestA、HttpSendRequestA、HttpQueryInfoA、InternetReadFile及WriteFile将病毒信息文件写入上一步生成的临时文件中，此文件为.ini格式文件，文件内容如下：

[main]
u=http://2*9.1*8.34.9/dmmodule/zzz.exe
c=/S

5.病毒调用GetPrivateProfileStringA取下载路径，并删除临时文件。

6.病毒再次取临时文件路径，使用同上面相同函数下载如上url中的文件，每4k写入一次文件，直至完成。

7.病毒调用LoadLibrary取Kernel32.dll的hModule，并调用GetProcess取CreateProcess函数地址，并调用，以自行刚刚下载的文件。

8.病毒等待文件执行完成，调用DeleteFile删除文件后退出。