flyleaf 发表于 2009-12-30 14:35

Virus/Win32.Daum.a分析

一、 病毒标签:
病毒名称: Virus/Win32.Daum.a
病毒类型: 病毒
文件 MD5: 3BE1A003EE66603B222109A0FE502F42
公开范围: 完全公开
危害等级: 4
文件长度: 14,990 字节
感染系统: Windows98以上版本

二、 病毒描述:
该文件是被病毒感染后的文件。该病毒为感染式病毒,病毒通过修改导入表的方式使被感染文件在调用某一个动态链接库的时候将首先执行病毒代码,执行完毕后将转到正常调用的函数的代码。病毒的代码将向资源管理器进程中注入远程线程,检测窗口类名称为“TibiaClient”的窗体,读取进程内部的内存数据。

三、 行为分析:
本地行为:
1、文件被感染后的特点:
1)修改导入表中导入的第一个动态链接库函数的iat表的地址。
2)在文件尾部添加一个数据节。数据节的长度根据被修改的iat表的项数相关。
3)数据长度为M=N+n(4+5)+4;其中N为固定代码长度206Dh,n为被感染的iat表的项数。
2、感染代码的功能:
1)获取kernel32.dll基址,获取函数LoadLibrary和GetProcAddress函数的地址
2)获取要调用函数的地址
3)创建远程线程注入到explorer.exe中
4)循环检测窗口中是否有类名称为“TibiaClient”的窗体。并读取其内存数据。

四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
页: [1]
查看完整版本: Virus/Win32.Daum.a分析