黑客擂台--木马下载器Win32.Hack.PcClient.40960分析

┆ 首页 ┆ 新闻中心 ┆ 软件下载 ┆ 动画教程 ┆ 给我留言 ┆ 技术论坛 ┆ 繁體中文

在线服务 MD5破解免费代理邮局登陆商城系统文章免费空间在线杀毒

黑客擂台

设为首页广告合作网站帮助下载声明
联系站长网站地图关于本站加入收藏

您当前的位置：黑客擂台 → 漏洞病毒 → 新闻内容

站内公告：请牢记本站宗旨：自由，探索，创新，合作;不要利用你的网络技术给他人带来麻烦，否则会有人找你的麻烦！

| | | | | | | | |

木马下载器Win32.Hack.PcClient.40960分析

木马下载器Win32.Hack.PcClient.40960分析

作者：kaduo 来源：赛迪网发布时间：2008-7-15 2:20:40

减小字体增大字体

赛迪网-IT技术报道】这是一个类似于机器狗的木马下载器。它会尝试用修改系统时间、解除主动防御、结束进程等方式，破坏多款安全软件的正常运行，然后下载大量的木马程序。

病毒名称:野狗下载器40960

威胁级别:★★☆☆☆

病毒类型:木马下载器

病毒长度:40960

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

获取当前进程，把进程权限提升为"SeDebugPrivilege"。

获取原始的SSDT服务函数。

打开atapi.sys，通过搜索指令的方法获取以下五个Irp_Major处理例程：

IRP_MJ_DEVICE_CONTROL
IRP_MJ_INTERNAL_DEVICE_CONTROL
IRP_MJ_POWER
IRP_MJ_SYSTEM_CONTROL
IRP_MJ_PNP

病毒自身实现了GetTickCount这个API函数。

设置系统年份为2000年。

把病毒自身的两段加密的数据进行解密操作。一段数据是生成驱动文件的，另一段是写入\\.\PhysicalDrive0的(该段数据用于创建线程下载其它木马程序)。

创建并启动服务，服务的文件为刚创建的驱动文件。

结束系统上如下进程:

ravmon.exe
ravmond.exe
ccenter.exe
360SafeBox.exe
360tray.exe
safEboxtray.exe
kavstart.exe
kissvc.exe
ccsvchst.exe

分别打开explorer.exe和\\.\PhysicalDrive0，计算explorer.exe在\\.\PhysicalDrive0的位置，把之前解密后的第二段数据(负责下载其它木马)写入。

创建iexplore.exe进程，把写入explorer.exe的代码创建一个远程线程下载其它木马。

远程线程通过使用socket从http:/ /w**a.xst2.cn/4256.txt下载4256.txt文件至%Temp%目录下。然后读取%Temp%目录下的4256.txt读取其它木马的下载地址，下载并创建进程运行。

dx.s**tt.cn/ok.exe
dx.s**tt.cn/arp.exe
dx.s**tt.cn/down/wow.exe
dx.s**tt.cn/down/my.exe
dx.s**tt.cn/down/wd.exe
dx.s**tt.cn/down/tl.exe
dx.s**tt.cn/down/q3.exe
dx.s**tt.cn/down/jx.exe
dx.s**tt.cn/down/cs.exe
dx.s**tt.cn/down/zyhx.exe
dx.s**tt.cn/down/mxd.exe
dx.s**tt.cn/down/jr.exe
dx.s**tt.cn/down/zx.exe
dx.s**tt.cn/down/qhx.exe
dx.s**tt.cn/down/zt.exe
dx.s**tt.cn/down/cq.exe
dx.s**tt.cn/down/wl.exe
dx.s**tt.cn/down/jh.exe
dx.s**tt.cn/down/dj.exe
dx.s**tt.cn/down/zf.exe
dx.s**tt.cn/down/cb.exe
dx.s**tt.cn/down/qn3.exe
dx.s**tt.cn/down/dh3.exe
dx.s**tt.cn/down/dh2.exe
Dx.***t.cn/down/mh.exe

上一篇新闻：不想电脑变"肉鸡" 小心病毒"候补肉鸡"

下一篇新闻：Phpcms 2007 远程文件包含漏洞

[ 数据载入中... ] [返回上一页] [打印]

∷相关新闻评论∷　　　（评论内容只代表网友观点，与本站立场无关！） [更多评论...]

{$ReadFriendLink(24,8,1,1)}

推荐新闻

· 6.27毒报：黑客学徒感..
· 怎样才能知道自己的电..
· 病毒是怎么命名的？教..
· “木马群”肆虐中毒电..
· MD5真的已靠不住？同样..
· 黑客利用网银盗窃30万..
· 安全专家:IE 6新缺陷可..
· 简便快捷好方法请看注..
· IANA ICANN站点被黑访..
· 19岁黑客攻击公安网站..

相关新闻

·[新闻]网游木马网上肆虐五步简要措..
·[注意]病毒下载器 “智能”下木马
·[新闻]黑客放灰鸽子木马程序盗走32..
·[转载]金山毒霸29日预警：警惕“间..
·瑞星“云安全”抵御木马猖獗的未来..
·[注意]江民7月17日病毒播报:U盘代理..
·近半上网电脑遭Flash漏洞威胁专家..
·[图文]手工查杀木马和病毒作网络安..
·色情网站传播木马　站长、黑客齐判..
·打造自己的线程QQ木马
·“木马群”肆虐中毒电脑达数百万
·[注意]瑞星公司06月11日发布每日计..

热门新闻

·[新闻]辽宁女孩张雅狂骂四川灾民视..
·[图文]网络惊现大二女生艳照门图及..
·[图文]用彩虹QQ个性聊天抓出隐身好..
·19岁黑客攻击公安网站并留言挑衅
·[图文]强行破解加密WinRAR文件找回..
·[推荐]拒绝肉鸡教你几招让黑客永远..
·惊奇的发现QQ2008里面隐藏的神奇的..
·[推荐]通过QQ即可控制电脑全球首个..
·[新闻]黑客放灰鸽子木马程序盗走32..
·文件夹全部被恶意修改为隐藏属性解..
·[图文]手工查杀木马和病毒作网络安..
·[新闻]清华大学网站被黑黑客捏造新..

| 设为首页 | 加入收藏 | 联系站长 | 关于本站 | 网站帮助 | 广告合作 | 下载声明 | 网站地图

版权所有 ©2008 黑客擂台网站备案编号：陕ICP备08006476号投稿信箱:hack-pk@163.com 站长QQ:81193119 279980950 QQ群：35658924 61401592
Copyright ©Hackpk.CoM. All rights reserved.