关键字： 视频宝宝卡拉蜜3warerun.exesvchoct.exemy.exe

本文详细介绍PE.Agent.cj.799 木马感染模块799

　　病毒名称(中文):木马感染模块799病毒别名:威胁级别:★☆☆☆☆病毒类型:木马程序病毒长度:19800影响系统:Win9xWinMeWinNTWin2000WinXPWin2003

　　病毒行为:

　　这是一个感染型的木马。它属于某综合型木马的模块之一，主要任务是感染exe格式的文件，然后执行木马的破坏模块。根据病毒作者的安排，破坏模块可能会是任何一种恶意程序。

　　首先是通过

　　moveax,fs:[eax 30h];指向PEB的指针

　　moveax,[eax 0ch];指向PEB_LDR_DATA的指针

　　movesi,[eax 1ch];根据PEB_LDR_DATA得出InInitializationOrderModuleList的Flink字段

　　lodsd

　　moveax,[eax 08h];Kernel.dll的基地址

　　然后查找kernel.dll导入表，查找"PteG",再 4检查"Acor",获取GetProcAddress

　　然后用GetProcAddress获取CreateFileA,ReadFile,GetTempPathA,WriteFile,SetFilePointer,WinExec

　　读取自身固定偏移处保存的病毒体，释放到Temp目录中，运行病毒

　　病毒体内主要分为2大部分：

　　一：执行代码部分：

　　这一部分又分为

　　(1):获取函数，释放病毒iii.exe到Temp目录，并执行

　　(2):在(1)的末尾，跳到宿主exe的头部，运行宿主

　　二：保存的病毒部分：

　　这一部分是保存完整的iii.exe病毒文件。

　　;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

　　iii.exe为病毒释放到temp中执行的文件，通常为病毒下载器，所以即使清除了下载回来的病毒，而没有清除被感染的正常文件，很容易会重复感染

　　PEStage2.exe.v为宿主文件