捕获时间
2008-04-12
病毒症状
该程序是使用VC编写的下载程序,由微点主动防御软件自动捕获,采用UPX加壳方式试图躲避特征码扫描,加壳后长度为8,704字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑的方式传播。
病毒分析
该木马程序被执行后,拷贝自身到%SystemRoot%/system32目录下,修改文件创建时间以及修改时间;通过API函数CreateProcessA运行病毒拷贝;后以批处理的形式将病毒原文件删除;
病毒拷贝运行后,在目录%SystemRoot%/system32下释放动态库wconl.dll,修改文件创建时间、修改时间;通过API函数CreateProcessA运行IEXPLORE.EXE,申请内存空间将wconl.dll写入,通过相关API函数激活病毒代码实现代码注入,访问恶意网站下载其他病毒程序并运行。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑
2008-04-12
病毒症状
该程序是使用VC编写的下载程序,由微点主动防御软件自动捕获,采用UPX加壳方式试图躲避特征码扫描,加壳后长度为8,704字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑的方式传播。
病毒分析
该木马程序被执行后,拷贝自身到%SystemRoot%/system32目录下,修改文件创建时间以及修改时间;通过API函数CreateProcessA运行病毒拷贝;后以批处理的形式将病毒原文件删除;
病毒拷贝运行后,在目录%SystemRoot%/system32下释放动态库wconl.dll,修改文件创建时间、修改时间;通过API函数CreateProcessA运行IEXPLORE.EXE,申请内存空间将wconl.dll写入,通过相关API函数激活病毒代码实现代码注入,访问恶意网站下载其他病毒程序并运行。
Quote: | |
|
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑