“TrojanDownloader.VB.tt”病毒分析
加壳名:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
编译器:Microsoft Visual Basic 5.0 / 6.0
入口点:00001A38
反杀软:
ntsd -c q -pn 360safe.exe
ntsd -c q -pn 360tray.exe
修改系统日期为:1994年5月9日
自我复制:
c:program filesinternet explorersvchost.exe
躲避部分防火墙监控:
后台调用“C:WINDOWSsystem32ntsd.exe”,利用该进程再去调用“c:program filesinternet exploreriexplore.exe ”进行恶意操作(连接网络,下载木马等)。
主程序也直接调用“c:program filesinternet exploreriexplore.exe ”进行恶意操作(连接网络,下载木马等)。
中木马用户个数统计:
http://ask.35832.com/main.js
下载恶意程序,并自动安装运行:
http://60.190.101.206/abc.exe
http://web.59cn.cn/leiying/11.exe
http://51731006.com/admin/xx.exe
病毒的后门,会连接病毒作者自己的网站(借助其它骇客之手使自己也悄悄的获利),然后进行刷访问量操作:
“http://www.xiuzhe.com/tongji.html”、“http://www.xiuzhe.com/tongji2.html”。
这2个网站地址都会在网页后台利用“iframe”语句后去连接“http://www.dumex.com.cn/dumexgoldclub/strongestmoment/vote_ok.aspx?membershipid=1716dc56-e937-4701-9791-82179bcbfb65”地址进行获奖比赛投票操作。
(通过社会工程学理论得到“该木马由‘免杀下载者’生成器生成,程序作者:带头大哥,QQ:627013”,免费的东西就是不能用啊,有后门的。)
病毒启动项:
hklmsoftwaremicrosoftwindowscurrentversionrun
c:program filesinternet explorersvchost.exe
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!