我爱电脑技术论坛's Archiver

tts669 发表于 2008-6-28 11:00

黑客木马程序“伪装暴力下载器”病毒分析

很久没发病毒分析文章了:
g{9F9O}o#J&f 7U7SJ Y|/}4v$t5w'~
Win32.TrojDownloader.FraudLoad.66048,这是一个黑客木马程序。该木马会降低系统安全设置,关闭防火墙,使得黑客可以很容易地入侵用户的计算机。它还会窃取用户系统中的密码和个人数据,并下载其它木马。
\ Vu ?)z5mW %SJsKBng'qS]
病毒名称:Win32.TrojDownloader.FraudLoad.66048
7DJ%A$GOV1X `/vk0{1dG@+kO;y:D
中文名称:伪装暴力下载器66048 D|FoL Y Y]+b#E"[
J!m'A_"uJ
威胁级别:★★☆☆☆ u O9K2x$r%x7Xe^3@.m|

9~Cr7Gd7{6ZH2s 病毒类型:黑客程序 '_8EFF6s%A+b4f6J

^;E#Ppk\ 病毒长度:66048字节 .I"T [au]:fh?$h

,MUF,dl 影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
#TtH2I{2y9X zw
Ti-o/Oy q?n 病毒行为:
n6WgHq S
q4l.~!V?4W4iGN+i 这是一个黑客木马程序。该木马会降低系统安全设置,关闭防火墙,使得黑客可以很容易地入侵用户的计算机。它还会窃取用户系统中的密码和个人数据,并下载其它木马。
9_*S-P8l/f7n LErM a'z3W9@5Hw\+K
1.释放病毒 3[~Z6~ {

p2i)zZI %Local Settings%\Temporary Internet Files\Content.IE5\C4DGV5NI\goggle[1].htm
/rB{2Nh%{:Q6r
? `X ^g %WINDOWS%\braviax.exe
6vSF@9|*?#iFX
\ tpsUA\,d %WINDOWS%\cru629.dat
"?e E W5B^]9];Tc
[}7a\u+O %system32%\braviax.exe
vR#G:RytrRdpa
pnIs o1h {2k %system32%\cru629.dat ,L%lflQ

l#iR4e/z bVZ8WNP %system32%\univrs32.dat ws0z3E#A Us)B A2c

DQsE8Yy}\ %system32%\winivstr.exe 1K%B:g/h A8^`J*P6I
i-r'tCE oP
生成在wincmd.ini文件中添加: `9@y"E's5^

.F }/BIk)Mr firstmnu=3513 u0]T9Rz_?7MWB8e

rI POA/l"vRq_L [lefttabs]
yW\zFsy1K
)B QRW Pn7HW.q\}1o7e^ 0_path=c:\WorkTools\ $v"gWQS2|k ?-{
[rKc_c-t
0_options=1|0|0|0|0|1|0 D6ICr|:T s:L
#v2Q ~s'Y+w-R
activetab=1 in0P#Has7FERYI
&Lb3[4a.L-^$sxw
[righttabs]
z/w6k@R fq)uD
4K$ij-D,J N 0_path=c:\WorkTools\OllyICE\
`){E b*b !e"i(Y8A ["\9Tl
0_options=1|0|0|0|0|0|0 v}Lds%j

'_]?AM activetab=0 Ld^$YG
~ wv2h)C
activelocked=1 I+w\p1?#n%i.H _
T6u5Dq I*| e^ jV'bx
========================================e{x`qYg
L5T q Fml Ua5Q*}

C,`KT6ra5Z 2.创建键值,建立服务,可以自启动

tts669 发表于 2008-6-28 11:00

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main F^1o+[b5V#v
&\'Qo5k+sL4_S#M2\
Search Bar "http://www.google.com/ie" N @E+ZZ$X
9X@)F.D6H#gLB o D
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ba1?3S#`/y
U M*Q*C'@ braviax "C:\WINDOWS\system32\braviax.exe"
?3tDK&w1E-K|xW
f0zY4V!~;R4Y/u&R 3.修改注册表项
wZ.F#uJ.z
p5O8}.y(o)\+[n [:r HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"EnableBrowserExtensions" [;h0yX{ T

$Wt r$MI@$w = "yes"
Kz'eN WH,U
$z1M;T2|B!\ |"Q HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"SearchBar"
RDXG*`yt4S a\?Vq!I+F
= "http://www.google.ie" 9lMIN6rpoO
)R'H!hU-~K"P3V+D
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"SearchPage" +X4fK0n7jd
Be/{ ?7m!o%g{/v
= "http://www.google.com"
-HGQ0o-dk2Nb ACD oWf&IZ
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\"StartPage" JmWi)H#^ APy3E
#YS^B{q
= "http://www.google.com" 7QR9}PjarRm

w y~k8}b~3ViP HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\"Default_Search_URL" b*iD~/a"t

w h n"u `w/` = "http://www.google.ie"
_g\ F1v?
YC9]\5ow\c r HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\"SearchPage" 3~ ak EB6L*J(m D

)?#Tq*yui0`i3_#h = "http://www.google.com"
V,?C*ILA0g(G(vO qzm!]eZ8i
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\"StartPage"
6^Wyxs,B\3n J }#S1Y3S
= "http://www.google.com" [t(?l9o5D*IRv
Mja%I%Uk9|$x2y
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\"SearchAssistant"
1N e1nU q qN
o7S [_X*G^}2[Y/v8? = "http://www.google.com" F`g0Z)i-n4y

5j~7Y"Y,B8U 修改以下注册表项,减低系统安全设置 Df(x~'^:d k

U&d-ep3|#Z-T0` qMv HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"AntiVirusDisableNotify"
$NH*Y|:gww(R S U+Y.X
~I{(F6Z:V = "01000000" PE+ieOL/e7U,j2c

3^ Tp'Ss^QJ/M HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"FirewallDisableNotify" h2V8h.y_w
(H+V$OM5k[4]k3bX
<= "01000000" lt(M,S3omg.C?
jUz#i2^o]I
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\"UpdatesDisableNotify" _qs ^a} K
5J4~QS@'q_
= "01000000"
Rnj9U%Dc }3U5q.C#r4QP
HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"AntiVirusDisableNotify" }9mWWuwv
/wW!s1v7S+SrJ
= "01000000"
7a? M;k+}4Xp$O1s-x 5D^ N{*y#NUL{,Tw
HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"FirewallDisableNotify"
y#@? ]MR;w'z'X e
MS-Ku(C8[%q!b} = "01000000" J9i\ n6sp

oJp&_1zOn aV HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\"UpdatesDisableNotify" 2Vp!qSS?}

!Y*Gv](I[+@j = "01000000" q9c3RYh

v6F3hA2c6r~4H5c HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ \1N1^j?Kn@
H6R5T1\b}&U
Parameters\FirewallPoli
.lqr)Wl] )Bvj8wJ'B:s5so:p p
cy\Standa 9dph'[;JN:J te

1Cm ^9C(kux%t~ rdProfile\EnableFirewall" = "00000000"
;I c/B$FL-u!F^v ^p~7L)qp\ nU7i
4.病毒注入到所有进程中并调用运行,保护病毒体不被复制、删除。
(j\d)M,K;^7Vg2T M Sf0pm$c
破坏多款防火墙程序,窃取被感染计算机
&t$^,{7x$QTIx1Y h
{o,{6^ JM 上用户的私密信息并发送给病毒作者,另外,可能会破坏用户计算机系统内的某些应用程序等。 I~;]I1a

^%[*aG}o 5.从[url]http://www.so[/url]****shier.com/me***ers/link[已删除],下载执行其他病毒。

天涯海角 发表于 2008-6-28 14:29

果然厉害,支持一把!

页: [1]

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.