扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
病毒名称(中文):木马下载器184320
威胁级别:★☆☆☆☆
病毒类型:木马下载器
病毒长度:184320
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
此病毒为VC编写的下载器程序。它会不停的下载其它病毒到用户电脑中。病毒作者为它设置了大量的垃圾代码,试图干扰反病毒工作人员的分析。
1.病毒调用GetVolumeInformationA取磁盘信息,调用GetSystemDirectoryA取系统目录,生成文件路径,病毒检查此文件是否存在,若不存在,则建立文件,并写入标记信息(pv0070)。
2.病毒调用GetWindowsDirectoryA取Windows路径,并调用GetTempFileNameA生成临时文件路径,此文件用于后面病毒获取下载信息文件。
3.病毒解密并拼合URL供下载使用(8*8.8*3call.cn/pw.ini)。
4.病毒调用InternetCrackUrlA、InternetOpenA、InternetConnectA、HttpOpenRequestA、HttpSendRequestA、HttpQueryInfoA、InternetReadFile及WriteFile将病毒信息文件写入上一步生成的临时文件中,此文件为.ini格式文件,文件内容如下:
|
5.病毒调用GetPrivateProfileStringA取下载路径,并删除临时文件。
6.病毒再次取临时文件路径,使用同上面相同函数下载如上url中的文件,每4k写入一次文件,直至完成。
7.病毒调用LoadLibrary取Kernel32.dll的hModule,并调用GetProcess取CreateProcess函数地址,并调用,以自行刚刚下载的文件。
8.病毒等待文件执行完成,调用DeleteFile删除文件后退出。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。