|
等 级:资深长老 |
经 验 值:3060 |
魅 力 值:1870 |
龙 币:5557 |
积 分:3826.1 |
注册日期:2004-06-22 |
|
|
|
快删除Flashget下载快车,它自动下载病毒
Flashget最新版怀疑自动下载病毒
Flashget最新版怀疑自动下载病毒
文件来源:
FlashGet安装包
来源:FlashGet官方网站
该网址不再展示 />
文件名:flashget196cn.exe
长度:4,520,496 字节
版本号:1.9.6.1073
测试环境
OS:
XP SP2-2600
文件名:
C:/PROGRAM FILES/FLASHGET/INAPP6.EXE
长度:
42,496 byte
CRC32:
329C08C6
摘要:
INAPP6.EXE强行感染系统文件sens.dll(sens.dll是系统事件提醒服务相关库文件),然后去下载流氓软件gdim32.dll程序
程序行为:
1、程序被执行后,查找%systemroot%/system32目录下ms*as.dll;
2、为自身进程添加SeDebugPrivilege、SeLoadDriverPrivileg、SeShutdownPrivilege、SeTcbPrivilege等特权令牌(其实SeDebugPrivilege就可以了),判断操作系统板本将sfc_os.dll载入,获取到sfc_os.dll导出的2#函数(SfcTerminateWatcherThread此函数为微软未公开),打开进程winlogon.exe创建远程线程,将系统文件保护功能线程终止;
3、多余代码:通过调用动态库sfc_os.dll的5号 API函数(SfcFileException),实现对单一文件禁止Windows自动恢复系统文件的功能(此处代码并未调用,怀疑为抄袭)
4、之后修改%System32%\sens.dll文件,修改数据如下图1\图2\图3所示,动作如下;
尝试删除%systemroot%\system32\sensdat.dll,将%systemroot%\system32\sens.dll改名为sensdat.dll,将%systemroot%\system32\sensdat.dll拷贝为sens.dll,通过API函数WriteFile生成sens.dll,完成修改sens.dll的任务;在%SystemRoot%\system32\目录下释放动态库msasno.dll;在目录%SystemRoot%\system32\下,拷贝msasn1.dll为msuas.dll;将rundll32 msasno.dll in 111432作为API函数CreateProcessA的参数启动msasno.dll,msasno.dll主要完成下载任务。通过批处理将病毒原文件删除。
图1
此处代码:
722612C7
. /E9 616F0000
jmp sens.7226822D
在该dll未加载之前执行地址7226822D的恶意代码
|
|
-- 当转速表的指针飙到红线,发动机奏出死神震撼的轰鸣声,飞快闪过眼角的景色可能成为生命的最后一幕。最后一个前进档,通向胜利,飞奔…
该网址不再展示 |
|
|