学习病毒分析,目前自己只达到了这个水平,不知道能不能拿个邀请码..这个病毒的样本,加了注释的IDB文件,释放的DLL,我打了一个包放了出来..释放的DLL不知道怎么回事,哪位大神可以给指点一下.
一、病毒标签:
病毒名称:
病毒类型: 木马
文件MD5: 5CA7344508EC2EEF0A84E35150AC6FD25FC02C1C
文件长度: 脱壳前276,480字节,脱壳后376,832字节
受影响系统:Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
开发工具:未知
加壳类型: 未知
二、病毒描述:
修改注册表,自启动,注入explorer.exe执行远程代码。
三、行为分析:
病毒首先判断操作系统版本,以及explorer.exe的大小和修改时间, 并且创建事件对象"VBHSDDXCASDFERRBNM_BOB"来保证系统中只有一个实例在运行。
然后将自身文件复制到系统目录system32下,并释放cao220.txt与cao110.dll文件,设置隐藏属性。启动进程regsvr32.exe 参数为/s cao220.txt,安静模式执行命令。查找"AlertDialog"和"Product_Notification"窗口,模拟用户点击退出。过瑞星的实时监控,找到RavMon.exe进程,后枚举其中控制监视窗口的那个线程,模拟用户点击,关闭实时监控。填加注册表启动项SoftWare\Microsoft\Windows\CurrentVersion\Run,
键值为c:/windows/system32/zhido.exe。向explorer.exe中注入病毒代码,并远程执行。如果写入失败,则加载起cao110.dll,之后则进入消息循环中。
释放的DLL中,没有看到具体行为。