...样本 ,仅供研究!(本人写病毒分析报告用的) 邮箱:314606651@qq.com...
发布网友
发布时间:2024-05-03 04:15
共1个回答
热心网友
时间:2024-08-05 10:27
这是一个MFC写的感染型病毒。
病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys,该驱动用来恢复SSDT,把杀毒软件挂的钩子全部卸掉。然后在System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。
然后该程序退出,运行刚刚释放的lsass.exe。
lsass.exe运行后,会在com文件夹下重新释放刚才所释放的文件,同时会在system32文件夹下释放一个新的动态库文件dnsq.dll,然后生成两个随机名的log文件该文件是lsass.exe和dnsq.dll的副本,然后进行以下操作:
1. 从以下网址下载脚本https://js.k0102.com/data.gif,查找窗口”MCI Program Com Application”如果该窗口不存在则运行下载的程序。
