行为极其恶劣的U盘病毒OSO.exe分析与查杀
行为极其恶劣的U盘病毒OSO.exe分析与查杀
病毒名:Worm.Pabug.ck大小:38,132 字节
MD5:2391109c40ccb0f982b86af86cfbc900
加壳方式:FSG2.0
编写语言:Delphi
传播方式:通过移动介质或网页恶意脚本传播
经虚拟机中运行,与脱壳后OD分析结合,其行为如下:
文件创建:
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf
X指非系统盘符
%systemroot%是环境变量,对于装在C盘的Windows XP系统,默认路径为C:\WINDOWS文件夹,以下以此假设进行分析。
创建进程:
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe
使用net stop命令,结束可能存在的杀毒软件服务
调用sc.exe,
config [对应服务] start=disabled
禁用这些服务
被结束和禁用的服务包括:
srservice
sharedaccess(此即系统自带防火墙——笔者注)
KVWSC
KVSrvXP
kavsvc
RsRavMon
RsCCenter
其中,在结束瑞星服务的过程中,由于瑞星会弹出提示,病毒作了相应处理:
用FindWindowA函数,捕捉标题为"瑞星提示"的窗口
用FindWindowExA函数,找到其中“是(&Y)”的按钮
用SendMessageA函数向系统发送信息,相当于按下此按钮
|
| 【内容导航】 | |
| 第1页:行为极其恶劣的U盘病毒OSO.exe分析与查杀 | 第2页:行为极其恶劣的U盘病毒OSO.exe分析与查杀 |
| 第3页:行为极其恶劣的U盘病毒OSO.exe分析与查杀 | 第4页:行为极其恶劣的U盘病毒OSO.exe分析与查杀 |
| 第5页:行为极其恶劣的U盘病毒OSO.exe分析与查杀 | |
评论暂时关闭