病毒名称(中文):
木马更新模块28672
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
28672
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是某黑客远程程序的组成模块。它的任务是帮助黑客程序母体实现更新,以获取最新的功能与指令。
dll运行后:
改变进程的当前目录为sys32目录
(1):
创建线程ThreadProc1:
根据不同的应用选择C:\WINDOWS\system32\scheme.ini中的"Windata""UrlDll""UrlEx"节中的字符串作为cmdline
获取成功,调用获取的cmdline,运行cmdline
(2)线程ThreadProc2:
申请一块与scheme.ini同样大小的内存块Buffer1,Buffer2,Buffer3,Buffer4(做更新用),从scheme.ini中读出4段数据file1,file2,file3,file4。
线程ThreadProc2中创建线程ThreadProc3,
从scheme.ini中选择cmdline,依次检查Buffer1,Buffer2,Buffer3,Buffer4中是否有数据(原本为空),假如有的话,则用对应的Buffer中的数据更新对应的File1,File2,File3,File4中的数据,写入文件,设为系统隐藏,实现对scheme.ini的更新。
从更新后的sys32\scheme.ini中根据UrlEx,Windata,UrlDll,选择cmdline,执行与线程ThreadProc1中同样的CreateProcess新建进程操作。
设置一个循环重复执行上述动作。
线程ThreadProc3,
循环检查Buffer1~Buffer4中是否有更新数据,有的话就更新File1~File4,scheme.ini。
