|
原样本行为分析:
本地行为:
1、文件运行后会释放以下文件:
%Documents and Settings%\当前所在用户
\Local Settings\Temp\update.exe 34,304 字节
%system32%\drivers\uuid.sys 4,224 字节
2、释放驱动文件到%system32%\drivers\目录下,重命名为uuid.sys,等待加载
驱动成功后将该驱动文件删除。
3、加载urlmon.dll调用urldownloadtofileaAPI函数,并隐藏创建IExplorer.exe
进程写入224字节数据连接网络下载文件,以达到穿防火墙的目的,将下载后的文
件保存到%Documents and Settings%\当前所在用户\Local Settings\Temp目录
下,重命名为:update.exe。
网络行为:
连接网络下载病毒文件:
协议:TCP
域名或IP地址:http://ads.adslo****.info/ads/web.exe
(222.216.28.**)
端口:80
下载后的样本行为分析:
本地行为:
1、衍生病毒文件到以下文件夹:
%SystemRoot%\system32\drivers\IsDrv118.sys 15,872 字节
%Windir%\linkinfo.dll 53,248 字节
2、衍生DLL文件到%Windir%目录下并重命名为:linkinfo.dll并将其注入到
Explorer.exe进程中,创建BAT文件删除自身。
3、生成驱动文件%SystemRoot%\system32\drivers\IsDrv118.sys(加载后删除),
并调用ZwSetSystemInformation加载驱动。
4、病毒通过检查是否是在VMWare下运行,如果是直接关闭虚拟机,以此来防止自己
在虚拟机中被运行。
5、从"C:\"开始感染所有磁盘中后缀名为"exe"的文件。病毒在感染时,不感染
"QQ"、"winnt"和"windows"目录下的程序文件。
6、病毒通过修改卡卡助手的驱动"%system32%\drivers\RsBoot.sys"入口,使该
驱动在加载时失败。
网络行为:
枚举并尝试向局域网中计算机的隐藏共享文件夹"%s\\IPC$"、"C$"等写入名称
为"setup.exe"的病毒源文件,尝试连接时使用"Administrator"作为用户名。
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
|
病毒标签:
病毒上报信箱: