WEB开发网
开发学院网络安全病毒数据库 Win32.Hack.Agent.sr.28672 阅读

Win32.Hack.Agent.sr.28672

 2008-08-11 20:24:51 来源:WEB开发网   
核心提示:病毒名称(中文):木马更新模块28672病毒别名:威胁级别:★☆☆☆☆病毒类型:木马程序病毒长度:28672影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是某黑客远程程序的组成模块,它的任务是帮助黑客程序母体实现更新,Win32.Hack.Agent.sr.28672,以获取
病毒名称(中文): 木马更新模块28672
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 木马程序
病毒长度: 28672
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是某黑客远程程序的组成模块。它的任务是帮助黑客程序母体实现更新,以获取最新的功能与指令。

dll运行后:
改变进程的当前目录为sys32目录
(1):
创建线程ThreadPRoc1:
根据不同的应用选择C:\WINDOWS\system32\scheme.ini中的"Windata""UrlDll""UrlEx"节中的字符串作为cmdline
获取成功,调用获取的cmdline,运行cmdline

(2)线程ThreadProc2:
申请一块与scheme.ini同样大小的内存块Buffer1,Buffer2,Buffer3,Buffer4(做更新用),从scheme.ini中读出4段数据file1,file2,file3,file4。
线程ThreadProc2中创建线程ThreadProc3,

从scheme.ini中选择cmdline,依次检查Buffer1,Buffer2,Buffer3,Buffer4中是否有数据(原本为空),假如有的话,则用对应的Buffer中的数据更新对应的File1,File2,File3,File4中的数据,写入文件,设为系统隐藏,实现对scheme.ini的更新。

从更新后的sys32\scheme.ini中根据UrlEx,Windata,UrlDll,选择cmdline,执行与线程ThreadProc1中同样的CreateProcess新建进程操作。

设置一个循环重复执行上述动作。

线程ThreadProc3,
循环检查Buffer1~Buffer4中是否有更新数据,有的话就更新File1~File4,scheme.ini。







Tags:Win Hack Agent

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接