Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1411661
  • 博文数量: 416
  • 博客积分: 13005
  • 博客等级: 上将
  • 技术积分: 3297
  • 用 户 组: 普通用户
  • 注册时间: 2006-04-05 16:26
文章分类

全部博文(416)

文章存档

2014年(1)

2013年(4)

2012年(46)

2011年(64)

2010年(12)

2009年(4)

2008年(40)

2007年(187)

2006年(58)

分类: 网络与安全

2011-02-15 20:04:51

Worm/Kolab类蠕虫的特点:

1、加密真正的蠕虫载体,通过以下函数运行真正的文件。

CreateProcessA(挂起)
ZwUnmapViewOfSection(卸载)
VirtualAllocEx(分配空间)
WriteProcessMemory(写入)
GetThreadContext
WriteProcessMemory(修改)
SetThreadContext
ResumeThread(启动)

2、dump出的文件为真正的malware,一般为Worm/SDBOT.有害行为:

  1)、删除大量指定的程序
  2)、指定自启动
  3)、绕过防火墙
  4)、连接指定服务器,等待恶意指令


阅读(530) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~