【NB】一款DOS木马程序的分析¥
我是阿隐[爱心]今天更一篇木马分析的帖子
首先是样本信息
文件名称:803c617e665ff7e0318386e24df63038
文件大小:61KB
病毒名称:DDoS/Nitol.A.1562
MD5:803c617e665ff7e0318386e24df63038
Sha-1:e05277aafd161470b020e9e8d2aa2dcb9759328c
接下来是样本行为
打开与当前病毒进程文件同名的信号互斥量,判断信号互斥量是否存在,防止病毒行为的二次执行。
http://cdn.u1.huluxia.com/g4/M01/F6/2B/rBAAdmJ33hOACIhCAAKzgdvdi0c009.jpg
通过注册表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\",判断江民、瑞星杀毒软件的是否存在。
http://cdn.u1.huluxia.com/g4/M01/F6/28/rBAAdmJ33N2AD0p3AAEX-w3kEgk684.png
创建进程快照,判断360的杀软进程360sd.exe、360rp.exe是否存在;如果存在,则结束360杀毒的进程360sd.exe和360rp.exe。
http://cdn.u1.huluxia.com/g4/M01/F6/28/rBAAdmJ33N6AOB5MAAEzw6dFCtI463.png
http://cdn.u1.huluxia.com/g4/M01/F6/28/rBAAdmJ33N6AEVn-AAE-T_MD9bQ111.png
通过注册表"SOFTWARE\\JiangMin\\"和"SOFTWARE\\rising\\",判断江民、瑞星杀毒软件是否存在;如果江民、瑞星的杀软存在,则创建线程在用户桌面的右下角伪造360杀软的弹窗界面迷惑用户。
http://cdn.u1.huluxia.com/g4/M01/F6/28/rBAAdmJ33N-ALiZkAAC3tf5C37E741.png
创建线程利用IPC入侵用户的主机,种植木马病毒。利用弱口令猜测用户主机的用户名和密码,如果入侵成功则拷贝当前病毒进程文件到用户主机系统中,然后运行病毒文件,创建病毒进程。
http://cdn.u1.huluxia.com/g4/M01/F6/28/rBAAdmJ33N-AYcmXAACGKcrPicA956.png
http://cdn.u1.huluxia.com/g4/M01/F6/28/rBAAdmJ33OCANBkOAAEx_M7hplg631.png
http://cdn.u1.huluxia.com/g4/M01/F6/28/rBAAdmJ33OCANQi5AAGVXEY6hak746.png
如果当前病毒进程IPC入侵用户的局域网的主机系统成功,则拷贝当前病毒进程文件到用户的主机系统中,然后运行病毒文件,创建病毒进程。
http://cdn.u1.huluxia.com/g4/M01/F6/2B/rBAAdmJ33hKAKc9FAACFzcOZplg847.png
创建线程,在移动设备盘中释放病毒文件anturun.inf,进行病毒的传播。
楼内更新[爱心][爱心] 看看村长这是什么东东 不错 支持下 看起来好像不错的样子 楼猪V5啊 1v1飘过 1v1飘过
页:
[1]