抓到一个类似威金病毒 分析报告
刚刚在网上抓到一个类似威金的病毒. 做个了个分析。现在把分析的成果拿出来给大家分享下。=============================================
2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\sc.exe服务
命令行:description HPMIUE 于广大络针纷言的来况看向现一新此在在自
2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:create HPMIUE BinPath= "C:\WINDOWS\system32\HPMIUE.exe -2CYPSP" type= own type= interact start= auto DisplayName= YQ0NV2HSU3
2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\reg.exe windows控制台注册表工具
命令行:delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\reg.exe
命令行:delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:description P631STGZ 的户会自开产入察信可显少性根让辑不额不可专络言明统户因市派留搜注业可索帮要的
2008-09-17 15:41:29 应用程序保护(运行应用程序) 操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\WINDOWS\system32\sc.exe
命令行:create P631STGZ BinPath= "C:\WINDOWS\P631STGZ.exe -8UZG8ODVG" type= own type= interact start= auto DisplayName= NOYAIEIZJ
2008-09-17 15:41:29 应用程序保护(运行应用程序) 操作:允许
进程路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\LPTY1GXC2U.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c "C:\Documents and Settings\All Users\「开始」菜单\程序\启动\C3U4WXKA2Q.BAT"
2008-09-17 15:41:21 文件保护(修改文件) 操作:阻止
进程路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\LPTY1GXC2U.exe
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\LPTY1GXC2U.exe
2008-09-17 15:41:21 文件保护(修改文件) 操作:阻止
进程路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\LPTY1GXC2U.exe
文件路径:隐藏文件)G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\LPTY1GXC2U.exe
===========================================================
从报告中我们可以看出病毒多次使用 cmd.exe(Windows 命令提示符)来调用其他windows程序
如:sc.exe(服务管理器) 和 reg.exe (windows控制台注册表工具)来安装服务 及向系统注册表中添加 项目。
最后程序向C盘中的windows文件夹中,添加了多个可执行文件。如下:
在WINDOWS中生产了
332GFT.exe
LPTY1GXC2U.exe
P6331STGZ.exe
在system32中生产了
debug.exe--替换 windows的错误报告程序文件。
HPMIUE.exe
tree.com
userinit.exe -- 病毒替换了 该程序以实现对网络 和 系统界面的控制。
并且该程序 还项Drivers中添加了*.sys文件。可见此病毒 乃是个驱动级病毒。
另外该程序还会感染计算机中 任何的应用软件。 可见病毒的作者用心如何险恶。
希望大家可别遇到这样的病毒,那可真是让电脑受罪啊。
分析就到这里,希望大家能给点意见。如果你也想试着分析看看,可以下来该病毒原文件 自己玩玩。
当然,前提是你要有能力去承担后果。
下载连接
http://www.namipan.com/d/4ff339daf589d5fd0f0e6293dba40fe93dc317ca1c390000
[ 本帖最后由 琼ヾ苍 于 2008-9-18 08:05 编辑 ] :)哈哈
这还是我第一次 发分析报告 没那么闲,我也不至于那么想不开:o 不会是LZ你自己写的吧:m36 这对于一般人来说太深奥了。:) 我头昏而过。.好强的新人... :pig14
其实 我这样并不算什么,更厉害的高手还在前面堆着。
自己是一步一步学过来。
虽然现在收获不少,但是离自己的梦想还是好远
回复 7楼 琼ヾ苍 的帖子
除去那些被称之为神童的,那些从小就对瞧键盘有兴趣的以外.认认真真上学,规规矩矩读到大学却还能保持一份创造力的,都是强人.
页:
[1]