虽然很多毒都有“数字签名”,不过很多都是无效的,但是这个毒却拿到了个有效的数字签名:
图:02.exe有一个“MLK INDUSTRIES (SHENZHEN) LIMITED”的数字签名。
图:其他病毒的无效签名(2009.11.9 1.exe)
数字签名:
http://en.wikipedia.org/wiki/Digital_signature (此条目比较完整)
http://baike.baidu.com/view/7626.htm?fr=ala0_1_1 (较完整)
http://zh.wikipedia.org/zh-cn/%E6%95%B0%E5%AD%97%E7%AD%BE%E5%90%8D (不完整)
http://baike.baidu.com/view/7626.htm?fr=ala0_1_1 (较完整)
http://zh.wikipedia.org/zh-cn/%E6%95%B0%E5%AD%97%E7%AD%BE%E5%90%8D (不完整)
简要分析:
启动后程序创建一个新线程,然后等待消息(其他组件发送)。
线程会检测互斥体“*exe-exe*”是否存在,如果不存在则程序建立并WinExec启动自身(02.exe),使得一个02.exe用于接收消息,一个02.exe负责下载文件。
下载文件的进程会SHGetSpecialFolder找到Program Files文档的位置并使用Inet下载http://down.wan555.com/2.exe到%prog%\gspc2.exe。完毕后程序休眠3秒,并设置gpsc2.exe的属性到隐藏、系统(HS),然后WinExec执行此程序。
最后一个模块是感染统计模块,程序会WinExec执行iexplore.exe访问http://www.wx888.cc/tongji/go.asp?mac=mac地址&id=m002用于报告感染。
相关木马地址:
hxxp://1.88888wyt.com/01.exe
hxxp://1.88888wyt.com/02.exe <--此文章提及的文件
hxxp://1.88888wyt.com/1.exe
(部分网址收于http://www.sacour.cn/list/20091225.htm,其他样本URL具体见http://www.sacour.cn/showmal.asp。)