“木马下载器变种TQP”病毒技术细节

大中小 [ 位置: 1 ^# ] taong 发表于 2008-3-10 08:08 只看该作者 [复制帖子链接到剪贴板]

“木马下载器变种TQP”病毒技术细节

下载型病毒，汇编语言编写，upack0.39加壳保护。病毒运行后，执行如下操作：

1、调用FindWindowA窗口查找类名为“IEFrame”的窗口，然后调用GetWindowThreadProcessId定位IE进程。

2、调用OpenProcess、WriteProcessMemory、CreateRemoteThread将代码注入IE进程并执行。

3、被注入IE进程的代码调用URLDownloadToFileA下载http://xxx.vg/ss.exe为本地c:\temp.exe。

4、执行下载的c:\temp.exe。

查看详细资料

用户组: 信息军队-少尉

Rank: 6

发短消息
加为好友
当前离线

TOP

‹‹ 上一主题 | 下一主题 ››

Processed in 0.081516 second(s), 6 queries, Gzip enabled.

-------------------------------------------------------------------------------------------------------------