恶意软件行为分析
本文分析了一种恶意软件的行为特征,包括删除自身文件如qqhx.dat、noruns.reg等,并不断在系统目录下写入可疑文件如dappvk.exe、anrun.inf等。还探讨了这些操作如何帮助恶意软件隐藏踪迹并感染U盘。
过河拆桥,把自己的兄弟也灭了,免得被人发现,起到更好的隐藏作用
这个步骤就有点莫名了
同时通过Filemon监控,或者其运作过程中会生成qqhx.dat,noruns.reg,net.exe,net1.exe和sc.exe,等文件,可是运作后会把这些文件一一删除,同时不停的往C:\windows\system32\写入dappvk.exe和其他非系统盘写入anrun.inf和sxs.exe,如果此时你插入U盘,相信就中招了,所以也是为什么删除后马上又有的缘故.
好像伴随的他还会把信息写入C:\windows\system32\下的qqhx.dat文件,据荆无命斑竹说明后是一个qq文件的保护程序,删除与否都不紧要的
本文转自 lvcaolhx 51CTO博客,原文链接:http://blog.51cto.com/lvcaolhx/12085
扫一扫
99
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
