欢迎来到天天文库
浏览记录
ID:24820853
大小:52.50 KB
页数:3页
时间:2018-11-16
《对“带有进程映像劫持功能的机器狗病毒”进行分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、对“带有进程映像劫持功能的机器狗病毒”进行分析~教育资源库 该主程序文件经过加壳保护处理。 C:32driverspcihdd2.sys->释放驱动(文件大小:5,504字节) C:32lssass.exe->释放木马下载器程序(文件大小:17,668字节) C:32userinit.exe->覆盖(好象覆盖失败,没得到覆盖后的文件) C:32driversati32srv.sys->释放驱动(文件大小:5,376字节) C:32HDDGuard.dll->释放DLL组件(文
2、件大小:20,480字节) 安装ati32srv.sys驱动,会利用ati32srv.sys驱动去关闭指定程序进程。 调用HDDGuard.dll组件,HDDGuard.dll组件会调用:ProgramFilesInterExploreriexplore.exe去连接网络(躲 避部分防火墙的监控),下载其它病毒文件。 病毒内的日期,判断木马下载列表的日期: 2008-1-25 下载地址列表 xz.kv8.info/images/xin.txt [CONTROL] VERSION=2008-1-25
3、 [DO/gx.exe 1=2.kv8.info/xm/aa1.exe 2=2.kv8.info/xm/aa2.exe 3=2.kv8.info/xm/aa3.exe 4=2.kv8.info/xm/aa4.exe 5=2.kv8.info/xm/aa5.exe 6=2.kv8.info/xm/aa6.exe 7=2.kv8.info/xm/aa7.exe 8=2.kv8.info/xm/aa8.exe 9=2.kv8.info/xm/aa9.exe 10=2.kv8.info/xm/aa10.e
4、xe 11=2.kv8.info/xm/aa11.exe 12=2.kv8.info/xm/aa12.exe 13=2.kv8.info/xm/aa13.exe 14=59.34.216.213/xm/aa14.exe 15=59.34.216.213/xm/aa15.exe 16=59.34.216.213/xm/aa16.exe 17=59.34.216.213/xm/aa17.exe 18=59.34.216.213/xm/aa18.exe 19=59.34.216.213/xm/aa19.e
5、xe 20=59.34.216.213/xm/aa20.exe 21=59.34.216.213/xm/aa21.exe 22=59.34.216.213/xm/aa22.exe 23=59.34.216.213/xm/aa23.exe 24=59.34.216.213/xm/aa24.exe 25=59.34.216.213/xm/aa25.exe 26=59.34.216.213/xm/aa26.exe友情提醒:,特别!
此文档下载收益归作者所有