在线视频不卡一区二区_日韩黄色片在线_亚洲一区在线免费_尤物国产精品

功能描述:

每分鐘向 "C:\Program Files\Internet Explorer\dmlconf.dat" 中寫入 16 字節(jié)的數(shù)據(jù)，前8字節(jié)為系統(tǒng)時(shí)間，接著是 4 字節(jié)數(shù)據(jù)是兩次連通特定網(wǎng)站的時(shí)間差， 最后 4 字節(jié)數(shù)據(jù)始終為 0

獲取系統(tǒng)時(shí)間信息

(3-4-4):Thread4(ThreadFunction:2001790C)

功能描述:

每10分鐘向 "fget-career.com的443端口" 發(fā)送當(dāng)前系統(tǒng)時(shí)間信息以及含有本機(jī)信息的字符串，并接收 "fget-career.com" 發(fā)回的數(shù)據(jù)。

解析 "fget-career.com" 的網(wǎng)址

和 "fget-career.com" 的 443 端口建立連接

本機(jī)和遠(yuǎn)程服務(wù)器的數(shù)據(jù)交互過(guò)程

(3-4-5):Thread5(ThreadFunction:20016EA8)

功能描述：

對(duì) DRIVE_FIXED 類型的磁盤上的 .exe、.dll、 .html、 .htm：四種文件進(jìn)行感染。

獲取系統(tǒng)目錄和Windows目錄,以便在全盤遍歷文件的時(shí)候避開這兩個(gè)目錄的文件

獲取所有的磁盤盤符，以便全盤遍歷

檢查磁盤類型是不是DRIVE_FIXED，如果是則深度優(yōu)先遍歷磁盤文件

深度優(yōu)先遍歷磁盤文件

//感染前先通過(guò)文件名排除三種文件(".."、"." 和 "RMNetwork")

//查看文件中是否有按名稱導(dǎo)入"LoadLibraryA"和 "GetProcAddress" ,有的話獲取對(duì)應(yīng)的 IAT RVA

//查看節(jié)表之后是否還有一個(gè)空節(jié)表的空間可用,如果有就添加一個(gè)新節(jié),并修改原來(lái)的程序入口點(diǎn)

//向文件中寫入一個(gè)PE文件，該P(yáng)E文件在被感染文件運(yùn)行時(shí)會(huì)被釋放出來(lái)

.exe和.dll文件的感染流程

被感染后的.exe和.dll 文件的行為

  在分析被感染后的文件執(zhí)行流程時(shí)得知在 新添加節(jié)的節(jié)內(nèi)偏移的 0X328H處存放著程序現(xiàn)在入口點(diǎn)和原入口點(diǎn)的差值(DWORD 類型)，該值即是修復(fù)入口點(diǎn)的依據(jù)。

.html 和 .htm 文件的感染過(guò)程

.html和.htm文件的感染流程

(3-4-6):Thread6(ThreadFunction:20016EC2)

功能描述：

每10秒鐘遍歷一次所有磁盤，當(dāng)磁盤類型為可移動(dòng)磁盤時(shí)，對(duì)該磁盤進(jìn)行感染,已達(dá)到借助可移動(dòng)磁盤對(duì)該樣本進(jìn)行傳播的目的。

檢查磁盤上是否有 "autorun.inf" 文件

如果已經(jīng)有“autorun.inf”文件，則通過(guò)對(duì)該文件的判斷來(lái)驗(yàn)證該可移動(dòng)磁盤是否被感染過(guò)

該可移動(dòng)磁盤沒有被感染過(guò)時(shí)，執(zhí)行以下操作

在可移動(dòng)磁盤根目錄創(chuàng)建“RECYCLER”文件夾并設(shè)置屬性為HIDDEN

子文件下創(chuàng)建.exe 文件，并將DeskToplayer.exe文件的內(nèi)容寫入

在根目錄創(chuàng)建"autorun.inf"文件并寫入數(shù)據(jù)

對(duì)可移動(dòng)磁盤的感染過(guò)程

三.清理方式

1. 使用字符串"KyUffThOkYwRRtgPP" 創(chuàng)建互斥體，如果互斥體已經(jīng)存在，說(shuō)明已經(jīng)有樣本在運(yùn)行，此時(shí)需要遍歷系統(tǒng)所有進(jìn)程，查找名稱為"Desktoplayer "和"iexplore "的進(jìn)程:

對(duì)于"Desktoplayer "進(jìn)程:直接結(jié)束；

對(duì)于"iexplore "進(jìn)程:如果進(jìn)程空間的 20010000 地址為有效地址，則直接結(jié)束進(jìn)程，同時(shí)刪除iexplore目錄下的  dmlconf.dat文件。

2. 依次在 1:"C:\Program Files\ ";

   2:"C:\Program Files\Common Files\ ";

       3:"C:\Documents and Settings\Administrator\ ";

       4:"C:\Documents and Settings\Administrator\Application Data\ ";

       5:"C:\WINDOWS\system32\ ";

       6:"C:\WINDOWS\ ";

       7:"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\";

目錄下查找"Microsoft"目錄，如果找到該目錄，則刪除該目錄及目錄下的"Desktoplayer.exe"文件。

3. 讀取HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\Winlogon的Userinit 的鍵值，并判斷鍵值內(nèi)容的最后一個(gè)啟動(dòng)項(xiàng)中是否包含"desktoplayer.exe"，如果包含，則刪除最后一個(gè)啟動(dòng)項(xiàng)。

4. 遍歷全盤文件，進(jìn)行查殺：

對(duì)于 DISK_FIXED類型的磁盤，在遍歷時(shí)可以避開系統(tǒng)目錄和Windows目錄,對(duì)于EXE文件,如果文件MD5和特征文件的MD5匹配，則直接刪除；

對(duì)于EXE、DLL，如果節(jié)表中含有".rmnet"節(jié)，則可判定文件已經(jīng)被感染，可由用戶決定是刪除文件還是修復(fù)文件(修復(fù)辦法:刪除".rmnet"節(jié)并修復(fù)入口點(diǎn))；對(duì)HTML、HTM文件，可以通過(guò)文件最后9 字節(jié)內(nèi)容是否是"</script>"來(lái)判斷文件是否被感染，文如果文件已被感染，則由用戶決定是刪除文件還是修復(fù)文件(修復(fù)辦法:刪除文件"<script Language=vbscript>"之后的內(nèi)容)。

對(duì)于 DISK_REMOVABLE類型的磁盤，如果磁盤根目錄有 "autorun.inf"文件且文件頭3字節(jié)內(nèi)容為"RmN"，則可判定該磁盤已經(jīng)被感染，需要從該文件總提取住exe文件的路徑，然后先刪除"autorun.inf"文件，再刪除

exe 文件。