File: 1sass.exe
Size: 8704 bytes
Modified: 2008年1月12日, 2:31:44
MD5: F063B1ED175455FC73B52C823692D0C4
SHA1: 73780BBFCBFFCC556412D4310C879CE25B1B8D65
CRC32: 0F5858A8
1.病毒运行后释放如下文件:
%systemroot%system1sass.exe
检测自身运行环境如果不为%systemroot%system1sass.exe则生成一个批处理文件删除自身
2.%systemroot%system32下面创建一个hack.ini的文件写入类似
[Version]
Down0=0
Down1=0
Down2=0
Down3=0
...
这样的信息 但具体用途未知,猜想是为了以后升级版本或者下载木马所用
3.创建一个名为“worm1314”的互斥量,避免同时有两个进程存在
4.创建服务:Drivers Management
服务相关信息:
启动类型:自动
映像路径:%systemroot%system1sass.exe
显示名称:Manage Drivers installed
5.连接网络读取http://nb.*.com/list.txt的下载列表下载其他病毒
目前为http://down.*.com/080116.exe(每天一变种,以日期命名)
http://nb.*.com/Server.exe
其中http://nb.*.com/Server.exe为病毒的更新版本
http://down.*.com/080116.exe为另一个下载器
080116.exe是之前分析过的mydown下载器最新变种这个病毒主要是以刷网站流量为主
简单分析如下:
1.生成%systemroot%system32mcdsrv16_080116.dll
%systemroot%system32mcdsrv32_080116.dll
%systemroot%system32ridiap080116.exe
%systemroot%hitpop_tmp.txt
%systemroot%ie.ini
2.在启动文件夹中设置ridiap080116.exe的启动项目
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!