对“带有进程映像劫持功能的机器狗病毒”进行分析

《对“带有进程映像劫持功能的机器狗病毒”进行分析》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、对“带有进程映像劫持功能的机器狗病毒”进行分析～教育资源库　　该主程序文件经过加壳保护处理。　　C:32driverspcihdd2.sys->释放驱动(文件大小：5,504字节)　　C:32lssass.exe->释放木马下载器程序(文件大小：17,668字节)　　C:32userinit.exe->覆盖(好象覆盖失败，没得到覆盖后的文件)　　C:32driversati32srv.sys->释放驱动(文件大小：5,376字节)　　C:32HDDGuard.dll->释放DLL组件(文

2、件大小：20,480字节)　　安装ati32srv.sys驱动，会利用ati32srv.sys驱动去关闭指定程序进程。　　调用HDDGuard.dll组件，HDDGuard.dll组件会调用:ProgramFilesInterExploreriexplore.exe去连接网络(躲　　避部分防火墙的监控)，下载其它病毒文件。　　病毒内的日期，判断木马下载列表的日期：　　2008-1-25　　下载地址列表　　xz.kv8.info/images/xin.txt　　[CONTROL]　　VERSION=2008-1-25　

3、　[DO/gx.exe　　1=2.kv8.info/xm/aa1.exe　　2=2.kv8.info/xm/aa2.exe　　3=2.kv8.info/xm/aa3.exe　　4=2.kv8.info/xm/aa4.exe　　5=2.kv8.info/xm/aa5.exe　　6=2.kv8.info/xm/aa6.exe　　7=2.kv8.info/xm/aa7.exe　　8=2.kv8.info/xm/aa8.exe　　9=2.kv8.info/xm/aa9.exe　　10=2.kv8.info/xm/aa10.e

4、xe　　11=2.kv8.info/xm/aa11.exe　　12=2.kv8.info/xm/aa12.exe　　13=2.kv8.info/xm/aa13.exe　　14=59.34.216.213/xm/aa14.exe　　15=59.34.216.213/xm/aa15.exe　　16=59.34.216.213/xm/aa16.exe　　17=59.34.216.213/xm/aa17.exe　　18=59.34.216.213/xm/aa18.exe　　19=59.34.216.213/xm/aa19.e

5、xe　　20=59.34.216.213/xm/aa20.exe　　21=59.34.216.213/xm/aa21.exe　　22=59.34.216.213/xm/aa22.exe　　23=59.34.216.213/xm/aa23.exe　　24=59.34.216.213/xm/aa24.exe　　25=59.34.216.213/xm/aa25.exe　　26=59.34.216.213/xm/aa26.exe友情提醒：，特别！