“摸奶门”

jerrysun

简单的看了下lei1115.exe，应该只是个刷流量的程序，危害并不大。

lei1115.exe  是VB 编写的，经过Aspack加壳。

行为比较简单：释放文件，然后运行释放的文件。
1.释放资源段内PE文件到%windir%\system32\autolem.exe 和%windir%\system32\btmcd.dll，%windir%\system32\maxthon.exe（maxthon.exe和btmcd.dll是同一个文件）

2.运行maxthon.exe

3.程序退出。



maxthon.exe（btmcd.dll）也是VB编写的，没有经过加壳保护。其行为是创建指向恶意网站的桌面图标，修改注册表添加启动项，生成记录感染时间的文件。
1.创建桌面图标Internet Explorer.lnk
通过依次查找Program Manager，SHELLDLL_DefView，SysListView32获取放置桌面图标的窗口句柄，通过发送消息的方式创建桌面图标Internet Explorer.lnk，属性目标为"%HOMEDRIVE%\Program Files\Internet Explorer\iexplore.exe" http://www.leilei.cc/?u_1115，对浏览器进行劫持，将快捷方式指向恶意网站。

2.创建注册表项，实现autolem.exe自启动
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{GO8JH169-8246-9BCE-2347-9BCE13568WMB}]
StubPath = "autolem.exe"

3.记录感染时间。
创建%windir%\system32\ntdox.sys  记录感染时间（伪装成驱动文件）





autolem.exe 也是VB编写，未加壳。作用是运行maxthon.exe然后退出。
1.运行%windir%\system32\maxthon.exe

2.__vbaEnd结束




p.s. ：http://www.leilei.cc/?u_1115貌似无法访问........

[ 本帖最后由 jerrysun 于 2009-7-4 00:31 编辑 ]

bank-w3000

avg杀。。。

拉肚子

名字真新奇。