分类: 网络与安全
2011-02-15 20:04:51
Worm/Kolab类蠕虫的特点:
1、加密真正的蠕虫载体,通过以下函数运行真正的文件。
CreateProcessA(挂起)
ZwUnmapViewOfSection(卸载)
VirtualAllocEx(分配空间)
WriteProcessMemory(写入)
GetThreadContext
WriteProcessMemory(修改)
SetThreadContext
ResumeThread(启动)
2、dump出的文件为真正的malware,一般为Worm/SDBOT.有害行为:
1)、删除大量指定的程序
2)、指定自启动
3)、绕过防火墙
4)、连接指定服务器,等待恶意指令