對“PTSShell.exe”病毒檔案的分析
報告名稱:對“PTSShell.exe”病毒檔案的分析
報告類型:病毒分析播報
基本介紹
- 外文名:PTSShell.exe
- 報告名稱:對“PTSShell.exe”病毒檔案分析
- 報告類型:病毒分析播報
- 編譯器:可能是彙編編寫或VC++6.0編寫
對“PTSShell.exe”病毒檔案的分析
報告名稱:對“PTSShell.exe”病毒檔案的分析
報告類型:病毒分析播報
分析PTSShell.exe檔案:
Trojan/PSW.OnLineGames變種
編譯器:可能是彙編編寫或VC++6.0編寫,不確定。
加殼:Upack 0.2x -> Dwing *
脫殼後程式入口點為:0000FD1D
脫殼前檔案大小:16,794 位元組
自我複製:
C:\windows\PTSShell.exe
釋放:
C:\windows\system32\PTSShell.dll
KEY_ALL_ACCESS
SoftWare\Microsoft\Windows\CurrentVersion\RUN
C:\windows\PTSShell.exe
會把釋放出來的DLL插入到系統“explorer.exe”進程中載入運行:
explorer.exe
-----------------------------------------------------------------------------------
分析PTSShell.dll檔案:
Trojan/PSW.OnLineGames變種
編譯器:Microsoft Visual C++ 6.0 DLL。
未加殼。
檔案大小:27,648 位元組。
檔案信息:
.\QQLogin.exe
UpdateOnline.EXE
QQhxgame.exe
盜取“QQ華夏”網路遊戲帳號、密碼等信息:
QQhxgame.exe
木馬發信地址(網址在程式檔案中加密存放):
http://www.niudvd.com/kafeimao/l ... s&p=%s&p2P?
http://www.niudvd.com/xinpotian/ ... s&s=%s&u=%s
