机器狗变种简略剖析~51CTO博客 - 威尼斯人

机器狗变种简略剖析~51CTO博客

2019-03-06 10:42:12 | 作者: 涵阳 | 标签: 文件,这个,开释 | 浏览: 358

其实这东西跟曾经这个差不多:   [url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/1bccac02ebd8170c4bfb51d3.html[/url]   只不过做了一些变化,载体为随机命名的~   好了,简略剖析下:   1、开释文件方面:   2个SYS文件,其间一个是PE文件,病毒的副本。   wxptdi.sys 77824 字节   fat32.sys   留意啊,这2个的途径都是在C:\windows\system32\下的   2、调用一个P处理tmipo.bat,履行stop sharedaccess指令。   3、控制系统文件svchost,加载在内存中。   4、衔接网络先取得下载列表:[url]http://d.93se.com/listo.txt[/url]   然后下载***,开释到c:\Program Files\,命名为:   c:\Program Files\lsassu.exe
c:\Program Files\lsasst.exe
c:\Program Files\lsasss.exe
c:\Program Files\lsa***.exe
c:\Program Files\lsassq.exe
c:\Program Files\lsassp.exe
c:\Program Files\lsasso.exe
c:\Program Files\lsassn.exe
c:\Program Files\lsassm.exe
c:\Program Files\lsassl.exe
c:\Program Files\lsassk.exe
c:\Program Files\lsassj.exe
c:\Program Files\lsassi.exe
c:\Program Files\lsassh.exe
c:\Program Files\lsassf.exe
c:\Program Files\lsasse.exe
c:\Program Files\lsassd.exe
c:\Program Files\lsassc.exe
c:\Program Files\lsassb.exe
c:\Program Files\lsassa.exe
c:\Program Files\lsass9.exe
c:\Program Files\lsass8.exe
c:\Program Files\lsass7.exe
c:\Program Files\lsass6.exe
c:\Program Files\lsass5.exe
c:\Program Files\lsass4.exe
c:\Program Files\lsass3.exe
c:\Program Files\lsass2.exe
c:\Program Files\lsass1.exe
c:\Program Files\lsass0.exe   有鬼话、梦境、征程、三国、QQ、QQgame、机战、魔域、鬼话3、传奇等***。   5、开释fat32.sys驱动,注册为PciHardDisk。   会拜访磁盘底层,修正userinit.exe。但我阻挠了~   其他没盯梢,就直接运行了~主要特征就是上面这些。   解决方法就是从dllcache把正常的userinit.exe掩盖到本来的当地。   然后删去c:\Program Files\的那些东西,还有wxptdi.sys和fat32.sys。   留意啊,这2个的途径都是在C:\windows\system32\下的   C:\windows\system32\fat32.sys   C:\windows\system32\wxptdi.sys        
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表威尼斯人立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章