病毒名称:Trojan-PSW.Win32.Nilage.blg(Kaspersky)
病毒大小:15671 bytes
加壳方式:NsPack
样本MD5:4e6b49a4bdb1caecc0fa2b69ec81f998
样本SHA1:c4881275f29fd403009855afdad05a6163010a2c
行为分析:
病毒运行后,复制自身到:
%ProgramFiles%Internet ExplorerPLUGINSNewTemp.bak
并释放dll:
%ProgramFiles%Internet ExplorerPLUGINSNewTemp.dll
注入explorer.exe进程,监视发.送到消息队列的消息,盗取用户密码,帐号等敏感信息
创建ShellExecuteHooks,随机启动:
[HKEY_CLASSES_ROOTCLSID{0EA66AD2-CF26-2E23-532B-B292E22F3266}InProcServer32]
@="%ProgramFiles%Internet ExplorerPLUGINSNewTemp.dll"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
"{0EA66AD2-CF26-2E23-532B-B292E22F3266} "="%ProgramFiles%Internet ExplorerPLUGINSNewTemp.dll"
病毒会在各分区根目录复制副本,创建autorun.inf实现自动.播放时运行病毒的动作: 字串3
X:autorun.inf
X:PegeFile.pif
autorun内容:
[autorun]
open=PegeFile.pif
shellexecute=PegeFile.pif
shellAutocommand=PegeFile.pif
shell=Auto
病毒会注入Explorer.exe反弹连接,访问网络下载其它病毒或恶意程序并自动运行:
%Temp%1.exe
%Temp%2.exe
%Temp%3.exe
%Temp%4.exe
%Temp%5.exe
%Temp%6.exe
%Temp%7.exe
%Temp%8.exe
%Temp%9.exe
%Temp%10.exe
%Temp%11.exe
%Temp%12.exe
%Temp%13.exe
%Temp%14.exe
%Temp%15.exe
%Temp%16.exe
%Temp%17.exe
%Temp%system22.exe
添加注册表项,记录自身和下.载的病毒的版本信息:
[HKCUSoftwareSetVerver]
病毒还尝试删除verclsid.exe文件,用Findwindow函数查找1616116,1818118窗体