文件: GR.PIF
大小: 12036 字节
MD5: EB92F0F76FDF5316C193CEF1F56C2238
SHA1: 6DADF5955C55C3686A3EA87E226669A887A8DB48
CRC32: 66547BCB
粗略行为分析:
修改系统时间为2004年当天
调用cacls.exe提升以下文件权限:
c:\windows\system32\packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\wpcap.dll
c:\windows\system32\drivers\npf.sys
c:\windows\system32\npptools.dll
c:\windows\system32\drivers\acpidisk.sys
c:\windows\system32\wanpacket.dll
c:\Documents and Settings\All Users\「开始」菜单\程序\启动
释放文件副本:
C:\temp.temp
C:\DEL.bat
C:\WINDOWS\system32\msjdbc10s.dll
C:\WINDOWS\system32\ciodms.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\npptools.dll
C:\WINDOWS\system32\waclt.exe
C:\Documents and Settings\*.pif
c:\Documents and Settings\All Users\「开始」菜单\程序\启动\3.pif
C:\Documents and Settings\Administrator\桌面\obj2.sys
各分区根目录下创建文件并反复回写:
autorun.inf
*.pif
运行IE并修改IE内存,连接:
221.174.16.35
61.135.208.90
58.53.128.146
……
等地址下载病毒木马文件
修改文件并加载驱动:
C:\WINDOWS\system32\Drivers\beep.sys
释放文件并加载驱动:
C:\Documents and Settings\Administrator\桌面\obj2.sys
删除系统文件并创建新的伪装系统文件:
C:\WINDOWS\system32\wuauclt.exe
C:\windows\system32\dllcache\wuauclt.exe
修改注册表,创建映像劫持:
360safe.EXE、360tray.EXE、AVP.EXE、AvMonitor.EXE、CCenter.EXE、IceSword.EXE、Iparmor.EXE、KVMonxp.KXP、KVSrvXP.EXE、KVWSC.EXE、Navapsvc.EXE、Nod32kui.EXE、KRegEx.EXE、Frameworkservice.EXE、Mmsk.EXE、Ast.EXE、WOPTILITIES.EXE、Regedit.EXE、AutoRunKiller.EXE、VPC32.EXE、VPTRAY.EXE、ANTIARP.EXE、KASARP.EXE、RAV.EXE、kwatch.EXE、kmailmon.EXE、kavstart.EXE、Runiep.EXE、GuardField.EXE、GFUpd.EXE、rfwmain.EXE、RavStub.EXE、rfwstub.EXE、rfwProxy.EXE
修改注册表,破坏隐藏显示系统文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,CheckedValue
相对以前的样本,这次简单的行为分析并未发现破坏安全模式行为,可能是一次没有完全成功的运行。
