-
程序启动时,会判断路径
-
- 将自己复制至C:\Windows\System32\drivers\spo0lsv.exe
- 并创建副本进程,退出自身进程
-
感染EXE文件
-
- 遍历文件夹,将EXE感染为熊猫,并且无法打开
- 对比原文件
- EXE末尾标志
- [0x00][WhBoy][文件名][文件后缀][0x02][文件大小][0x01]
-
感染htm/html文件
-
- 对htm/html进行填充iframe框架
-
创建文件
-
- 创建Desktop_.ini文件
- 创建根目录自动启动文件
-
创建启动项
-
-
查看字符串
-
- 猜测感染文件类型
-
对局域网攻击
-
-
END
-
查壳
-
脱壳
-
- 找OEP
- 通过特征码定位入口点jmp
- FF 63 0C 50 55 FF 53 14 AB
- DUMP
-
查新壳
-
- 得出Delphi 6.0-7.0
-
END
-
主函数
-
-
遍历磁盘线程回调函数
-
- 遍历盘符,交给Fun_409348处理
-
遍历文件函数
-
- 排除白名单
- 写入Desktop_.ini文件
- 感染名单
-
感染EXE文件
-
-
感染Html文件
-
-
感染Setup.exe文件
-
-
感染autorun.inf文件
-
-
网络传播
-
-
注册表编辑
-
-
自我保护、网络操作
-
- 关闭共享
- 关闭杀毒软件
- 下载文件
- 后门通道
-
END
-
病毒启动
-
- 复制自身
- 创建新进程
-
END
