• API函数导入木马 - [软硬件教学类]

    2008-11-28

    Tag:

    中毒表现:当木马运行后,会在进程中多开启一个iexploe.exe的隐藏页面,并且重启计算机后出现QQ、MSN等工作正常,但无法正常解析DNS的现象(HOST列表无问题,但就是无法打开网页)。

    木马分析:木马运行后查找CabinetWClass类名的窗口,找到该窗口后调用API函数枚举该窗口的子窗口通过调用SendMessageA向该窗口发送消息并在该窗口捕获消息,获取进程句柄修改访问权限,并衍生病毒文件:“当前日期.exe、jjjydf16.ini”等文件到%System32%目录下,修改注册表项使设置显示隐藏文件失效,添加注册表启动项,并在“%Documents and Settings%\All Users\”目录下创建配置文件“jjjydf16.ini”存放衍生的病毒路径,利用IFRAME代码开启iexploe.exe进程连接网络病毒服务器,完成文件更新自身。木马会从网站http://CWK***7.3322.org:85下载病毒“1.exe”至目录C:\WINDOWS\SYSTEM32\下并执行,使主机“沦陷”。

    木马主体:木马采用Delphi7进行编译,并采用了非通用的WinUpack 0.3x进行加壳处理,当杀软对其进行扫描时,木马壳随机生成MD验正,从而避免杀软特征码查杀。如木马发现RUNIEP.EXE、KRegEx.exe、KVXP.kxp、360tray.exe、avp.exe等进程就调用ntsd命令强行关闭它们。

    解决方法:

    1、禁用IE浏览器中的JAVA脚本调用。

    2、在安全模式删除病毒文件jjjydf16.ini,再查找“中毒日期的.exe”文件,进行删除。

    3、删除病毒服务注册表项[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\Checkedvaleu]下的建值。

     以上是我从本期电脑爱好者上摘的,和本人最近遇到的情况不大一样,最近也有种能上QQ,但是打不开网页的故障出现,一般出现这种情况后,会出现在“使用自动配置脚本”上。解决方法可以参考上面的。

    海子 发表于12:04 | 阅读全文 | 评论 0 | 编辑 | 分享 0
共4页 1 2 3 4 下一页 最后一页