位置導(dǎo)航:網(wǎng)站首頁<<<U盤行業(yè)知識(shí)<<<惡性U盤病毒HDM.exe RESSDT.sys Winlogon.dll查殺
惡性U盤病毒HDM.exe RESSDT.sys Winlogon.dll查殺
惡性U盤病毒HDM.exe
File: HDM.exe
技術(shù)細(xì)節(jié):
1.病毒運(yùn)行后,釋放如下文件以及副本:
C:\WINDOWS\system32\Winlogon.dll
C:\RESSDT.sys
遍歷所有磁盤分區(qū) 在磁盤根目錄下寫入HDM.exe和autorun.inf 以達(dá)到通過U盤等移動(dòng)存儲(chǔ)傳播的目的
同時(shí)建立服務(wù)RESSDT
服務(wù)相關(guān)描述:
啟動(dòng)類型:手動(dòng)
映像文件路徑:c:\RESSDT.sys
顯示名稱:"RESSDT"
之后加載該驅(qū)動(dòng) 該驅(qū)動(dòng)能夠使得某些殺毒軟件的API hook失效
2.釋放一個(gè)GetIp.bat到病毒所在目錄下,從而獲得IP地址
3.利用ping命令探測(cè)同一網(wǎng)段內(nèi)的其他機(jī)器,并把結(jié)果寫入c:\EnumHost.txt
4.如果查找到同一網(wǎng)段內(nèi)的其他機(jī)器,則通過枚舉用戶名和密碼的方式將HDM.exe復(fù)制到其他機(jī)器的C,D,E,F盤的根目錄下
5.獲得系統(tǒng)目錄,下載http://*/arp.exe和http://*/winpcap.exe
到系統(tǒng)目錄下面
winpcap.exe是嗅探器
arp.exe具有arp欺騙功能,可以向局域網(wǎng)中的其它機(jī)器的80端口加入http://www.*/wm.htm的iframe代碼
6.遍歷磁盤所有分區(qū)下面的html,htm,asp,aspx,php,jsp文件
在其尾部加入的代碼
7.遍歷所有磁盤分區(qū)刪除gho文件
8.在software\microsoft\windows nt\currentversion\image file execution options\下面添加IFEO項(xiàng)目,劫持某些殺毒軟件
9.將HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改為0x00000001 破壞顯示隱藏文件
10.刪除system\currentcontrolset\control\safeboot\network
和system\currentcontrolset\control\safeboot\minimal鍵
破壞安全模式
11.查找指定窗口的名稱,并將其關(guān)閉
12.啟動(dòng)c:\program files\internet explorer\iexplore.exe下載木馬
下載http://www.*/1.exe~http://www.*/6.exe
到temp文件夾下面分別命名為downfile.exe~downfile5.exe
其中的1.exe又是一個(gè)木馬下載器,它可以下載很多木馬,但測(cè)試中并未植入成功...
13.同時(shí)在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面添加注冊(cè)表項(xiàng)目
U盤訂購熱線:0755-84524848 手機(jī):13928466681 QQ: 384029020 24小時(shí)手機(jī)接聽:139 2846 6681 電郵:samuel@torovo.com 或與在線客服人員聯(lián)絡(luò)。欲了解更多U盤信 息請(qǐng)進(jìn)正益通U盤廠家的U盤定制網(wǎng)站:http://www.b0fgq.cn 大客戶聯(lián)系: 13926502725 海外銷售: 0086-755-33078349
點(diǎn)擊更多U盤生產(chǎn)車間視頻實(shí)錄以上就是正益通U盤生產(chǎn)廠家事業(yè)部對(duì)于惡性U盤病毒HDM.exe RESSDT.sys Winlogon.dll查殺話題的介紹,還有什么不了解的地方請(qǐng)直接咨詢U盤工廠在線客服,她們會(huì)一一為您解答。