基本介紹
基本特徵信息
- 病毒調用GetVolumeInformationA取磁碟信息,調用GetSystemDirectoryA取系統目錄,生成檔案路徑,病毒檢查此檔案是否存在,若不存在,則建立檔案,並寫入標記信息(pv0070).
2.病毒調用GetWindowsDirectoryA取Windows路徑,並調用GetTempFileNameA生成臨時檔案路徑,此檔案用於後面病毒獲取下載信息檔案。
3.病毒解密並拼合
4.病毒調用InternetCrackUrlA,InternetOpenA,InternetConnectA,HttpOpenRequestA,HttpSendRequestA,HttpQueryInfoA,InternetReadFile及WriteFile將病毒信息檔案寫入上一步生成的臨時檔案中,此檔案為.ini格式檔案,檔案內容如下:
[main]
u=http://2*9.1*8.34.9/dmmodule/zzz.exe
c=/S
5.病毒調用GetPrivateProfileStringA取下載路徑,並刪除臨時檔案。
6.病毒再次取臨時檔案路徑,使用同上面相同函式下載如上url中的檔案,每4k寫入一次檔案,直至完成。
7.病毒調用LoadLibrary取Kernel32.dll的hModule,並調用GetProcess取CreateProcess函式地址,並調用,以自行剛剛下載的檔案。
8.病毒等待檔案執行完成,調用DeleteFile刪除檔案後退出
