文件來源:
FlashGet安裝包
來源:FlashGet官方網站
www.flashget.com.cn

文件名:flashget196cn.exe
長度:4,520,496 字節
版本號:1.9.6.1073
測試環境
OS:
XP SP2-2600

文件名:
C:/PROGRAM FILES/FLASHGET/INAPP6.EXE

長度:
42,496 byte

CRC32
329C08C6

摘要:
INAPP6.EXE強行感染系統文件sens.dll(sens.dll是系統事件提醒服務相關庫文件),然後去下載流氓軟件gdim32.dll程序
程序行為:
1、程序被執行後查找%systemroot%/system32目錄下ms*as.dll
2、為自身進程添加SeDebugPrivilegeSeLoadDriverPrivilegSeShutdownPrivilegeSeTcbPrivilege等特權令牌其實SeDebugPrivilege就可以了),判斷操作系統板本將sfc_os.dll載入獲取到sfc_os.dll導出的2#函數(SfcTerminateWatcherThread此函數為微軟未公開),打開進程winlogon.exe創建遠程線程將系統文件保護功能線程終止
3、多餘代碼:通過調用動態庫sfc_os.dll的5號 API函數(SfcFileException),實現對單一文件禁止Windows自動恢復系統文件的功能(此處代碼並未調用,懷疑為抄襲)
4、之後修改%System32%\sens.dll文件,修改數據如下圖1\圖2\圖3所示,動作如下;
嘗試刪除%systemroot%\system32\sensdat.dll,將%systemroot%\system32\sens.dll改名為sensdat.dll,將%systemroot%\system32\sensdat.dll拷貝為sens.dll,通過API函數WriteFile生成sens.dll,完成修改sens.dll的任務;在%SystemRoot%\system32\目錄下釋放動態庫msasno.dll;在目錄%SystemRoot%\system32\下,拷貝msasn1.dll為msuas.dll;將rundll32 msasno.dll in 111432作為API函數CreateProcessA的參數啟動msasno.dll,msasno.dll主要完成下載任務。通過批處理將病毒原文件刪除。

圖1


此處代碼:
722612C7

. /E9 616F0000
jmp sens.7226822D

在該dll未加載之前執行地址7226822D的惡意代碼

圖2

創作者介紹

香醇咖啡

香醇咖啡 發表在 痞客邦 PIXNET 留言(0) 人氣()