位置導航:網站首頁<<<U盤行業知識<<<惡性U盤病毒HDM.exe RESSDT.sys Winlogon.dll查殺
惡性U盤病毒HDM.exe RESSDT.sys Winlogon.dll查殺
惡性U盤病毒HDM.exe
File: HDM.exe
技術細節:
1.病毒運行后,釋放如下文件以及副本:
C:\WINDOWS\system32\Winlogon.dll
C:\RESSDT.sys
遍歷所有磁盤分區 在磁盤根目錄下寫入HDM.exe和autorun.inf 以達到通過U盤等移動存儲傳播的目的
同時建立服務RESSDT
服務相關描述:
啟動類型:手動
映像文件路徑:c:\RESSDT.sys
顯示名稱:"RESSDT"
之后加載該驅動 該驅動能夠使得某些殺毒軟件的API hook失效
2.釋放一個GetIp.bat到病毒所在目錄下,從而獲得IP地址
3.利用ping命令探測同一網段內的其他機器,并把結果寫入c:\EnumHost.txt
4.如果查找到同一網段內的其他機器,則通過枚舉用戶名和密碼的方式將HDM.exe復制到其他機器的C,D,E,F盤的根目錄下
5.獲得系統目錄,下載http://*/arp.exe和http://*/winpcap.exe
到系統目錄下面
winpcap.exe是嗅探器
arp.exe具有arp欺騙功能,可以向局域網中的其它機器的80端口加入http://www.*/wm.htm的iframe代碼
6.遍歷磁盤所有分區下面的html,htm,asp,aspx,php,jsp文件
在其尾部加入的代碼
7.遍歷所有磁盤分區刪除gho文件
8.在software\microsoft\windows nt\currentversion\image file execution options\下面添加IFEO項目,劫持某些殺毒軟件
9.將HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改為0x00000001 破壞顯示隱藏文件
10.刪除system\currentcontrolset\control\safeboot\network
和system\currentcontrolset\control\safeboot\minimal鍵
破壞安全模式
11.查找指定窗口的名稱,并將其關閉
12.啟動c:\program files\internet explorer\iexplore.exe下載木馬
下載http://www.*/1.exe~http://www.*/6.exe
到temp文件夾下面分別命名為downfile.exe~downfile5.exe
其中的1.exe又是一個木馬下載器,它可以下載很多木馬,但測試中并未植入成功...
13.同時在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面添加注冊表項目
U盤訂購熱線:0755-84524848 手機:13928466681 QQ: 384029020 24小時手機接聽:139 2846 6681 電郵:samuel@torovo.com 或與在線客服人員聯絡。欲了解更多U盤信 息請進正益通U盤廠家的U盤定制網站:http://www.crazymoments.cn 大客戶聯系: 13926502725 海外銷售: 0086-755-33078349
點擊更多U盤生產車間視頻實錄以上就是正益通U盤生產廠家事業部對于惡性U盤病毒HDM.exe RESSDT.sys Winlogon.dll查殺話題的介紹,還有什么不了解的地方請直接咨詢U盤工廠在線客服,她們會一一為您解答。