最新改版
Death.exe死亡之吻新变种分析
上一篇 /
下一篇 2007-05-12 21:07:05
/ 个人分类:网络学习
病毒名称:Trojan-Downloader.Win32.Agent.bhd
*j#k-h&b!B�E�H1j:T�x6q0病毒类型:木马下载者
'l�b�[&t-i0病毒MD5:2ccd81d7d358778b11de9303e0097d2d
�p�j,B+n�{:L(Y T8G�n�_0加壳类型:UPX壳
�?�h E�_�E9C�Z�p0病毒行为:
�J(^�A�w8]�T�r01、病毒Death.exe运行后创建文件:%system32%\Supervise.exe。
'c6n�U+?8~,l02、Death.exe激活Supervise.exe。
;e�y�`�^�W�Q#s�|*e�Q�^03、Supervise.exe调用net.exe执行以下命令:
.g�a�O�B�D0net share c$ /del
�h.N5j�m
s0net share d$ /del
�l"k�q�i9V�P3i+]�T�s.f0net share admin$ /del云南博客�G%t4x"r1w3r.u!b
4、net.exe又继续激活net1.exe执行以下相同的命令:
�a�i&~,R v�R�l�b"d0net1 share c$ /del云南博客�u�T�Z�I�h*F�Q
net1 share d$ /del
�y*|�e0w B!^�G v0~0net1 share admin$ /del云南博客#l1W�n%i�s+}�i.E$F�O
5、Death.exe拷贝自身到%system32%\Death.exe。云南博客�k�x�O(D�h4{2E�R"n�~�g
6、Supervise.exe创建文件:%system32%\Death.SiShen,将病毒信息写进此文件!
&\�Z�M
[�L1Z�w�o07、Supervise.exe开本机端口2174 2176 2178 2148 2149 2150 2153 2159 2160 2180 2182 2186 2188 2190等连接此IP58.51.85.199:80(不知道要干什么!反正不是好事,我连接不是这个IP,所以没进一步测试)
$J�z�o�Y�A�[
W8o08、感染exe可执行文件!将病毒信息添加到exe文件中,运行被感染的exe文件后,将释放病毒!
导入论坛
收藏
分享给好友
推荐到圈子
管理
举报
TAG:
