劫持HOST文件
1.3劫持HOST文件
当前版本列表(各版本有所不同):
125.91.1.20 www.37021.net
125.91.1.20 37021.net
125.91.1.20 5235.net
125.91.1.20 www.5235.net
125.91.1.20 www.7255.com
125.91.1.20 www.2345.com
125.91.1.20 www.9991.com
125.91.1.20 www.haol23.net
125.91.1.20 www.kzdh.com
125.91.1.20 www.qu123.com
127.0.0.1 www.duba.net
127.0.0.1 duba.net
127.0.0.1 bbs.360safe.com
127.0.0.1 www.okbihoo.cn
127.0.0.1 okbihoo.cn
1.4系统DLL注入QQ(病毒启动10分钟之后)
利用LOADLIBRARY在不传入全路径的情况下会先从当前目录尝试读取DLL的特性,在系统目录复制rasadhlp.dll,通过在该DLL的输入目录中添加自己的DLL,以达到随QQ一起启动的目的。
1.5文件占用
以CreateFile打开自己的程序文件,使文件处于被占用的状态。
1.6禁用XP自带的系统还原
在SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore的DisableSR键值改成1。
1.7破坏安全模式
把System\CurrentControlSet\Control\SafeBoot下的所有注册表项都清空
1.8全局钩子INLINE HOOK REGENUMVALUE
5字节的HOT PATCH,由于消息钩子是在窗口出现之后才把对应的DLL加载到内存中的,也就是说在多线程的环境下,该病毒有可能导致程序崩溃。该钩子的作用是隐藏自己在注册表中的启动项
1.9加密文件名,注册表启动项。
其算法主要是根据本地C盘信息,根据其2进制值,对编码表的长度求余,获取编码表中对应的字符生成的。根据不同需要,生成规则略有差异。
1.10改写自身程序文件时间
获取kernel32.dll的创建时间修改时间和访问时间,修改自身文件时间与其相一致,逃避根据文件创建时间的检查。
2.功能模块
2.1修改IE
将搜索主页和默认主页修改为http://www.8749.com
Software\Microsoft\Internet Explorer\Search
Software\Microsoft\Internet Explorer\Main
值得注意的是这里使用了慢速概念,在程序运行后的10分钟之后(Sleep函数)才实现这部分功能。和前几个版本有所不同
2.2远程控制(一个非常危险的信号,除了劫持浏览器,被远程控制后,可以带来更严重的影响)
最基本的远程控制模块,包括一个以当前版本号,网络适配器信息和C盘的硬件信息为标记,发送数据包通知服务端在线的模块,以及能够响应服务端命令,下载并执行程序的模块。
2.3自动更新
当版本号与服务端不一致的时候,会自动下载最新版并覆盖原来的版本。
网友评论