1) 0042404C >call ; Delphi程序初始化函数
2 )00424056>call
该函数的功能是:
1。 比较进程程序名是否是 .EXE(文件名为空,十六进制编码为6个\0xA1),如果是,则运行c:\windows\explorer.exe d:(或C:,因为病毒会把自身拷贝到各盘根目录并以 .EXE命名,然后写入autorun.inf文件)这样打开D盘(或C盘等)时,inf执行,打开 .EXE程序。
2。查找当前目录是否有deskto.ini文件,有则删除之
3。比较进程程序名是否是scvhosL.exe,若不是,说明程序没有以scvhosL.exe被拷贝到系统文件夹下,则拷贝程序到c:\window\system32\drivers\scvhosL.exe,然后,WinExec执行scvhosL.exe,终止进程。
4。若当前程序是被感染的程序,则生成一个BAT文件,内容如下
:try1
del "D:\software\ProcXP\Procexp.exe"
if exist "D:\software\ProcXP\Procexp.exe" goto try1
ren "D:\software\ProcXP\Procexp.exe.exe" "Procexp.exe"
if exist "D:\software\ProcXP\Procexp.exe.exe" goto try2
"D:\software\ProcXP\Procexp.exe"
:try2
del %0
运行这个BAT文件
然后提取文件尾部中原来EXE文件的内容写到新文件Procexp.exe.exe,然后遍历当前进程,查看有没有
scvhosL.exe,若有,当前进程直接退出,若没有,拷贝一份病毒程序到system32\drivers文件夹下,然后再退出当前进程。
3) 0042405B call
该功能函数的作用是设置定时器,并创建新线程。
其定时器回调函数和创建的线程所做的工作有:
1遍历A-Z盘寻找可用的的驱动器盘符,写入一个aoturun.inf文件,若根目录下原本有autorun.inf文件,则生成一个批处理文件删除之,再写入新的autorun.inf,然后拷贝自身到 .EXE文件(文件名为空,十六进制编码为6个\0xA1).
2 遍历所有文件夹,除指定的文件夹外,在每个文件夹下写入一个DeskTop.ini文件,内容为GetLocalTime得到并格式化后的日期。感染除指定文件夹外的所有EXE文件,将病毒复制到EXE文件,原文件的内容写在尾部。
3 得到本机IP地址,创建socket测试网络是否连接。寻找局域网内的机器,枚举共享资源,以administrator 空密码试探进入,将病毒以Cool_GameSetup.exe为名拷贝到共享,然后得到远程机器时间,NetScheduleJobAdd加入一个任务,在指定时间内执行此程序。病毒创建10个线程来执行这个工作。
代码如下
00423EF4 call ;.3.1 函数:设置1个定时器
00423EF9 call ; .3.2函数:创建1个新线程
00423EFE mov ax,0A
00423F02 call ; .3.3函数:该函数将循环创建10个线程
00423F07 C3 retn
其中,.
3.1 设置定时器,函数代码如下:
004222C4 < push offset ;00421D6C=offset
004222C9 push 1770
004222CE push 0
004222D0 push 0
004222D2 call ; jmp 到 USER32.SetTimer
004222D7 mov dword ptr ds:[],eax
004222DC retn
该定时器回调函数的作用是:遍历A-Z盘寻找可用的的驱动器盘符,写入一个aoturun.inf文件,若根目录下原本有autorun.inf文件,则生成一个批处理文件删除之,再写入新的autorun.inf,然后拷贝自身到 .EXE文件(文件名为空,十六进制编码为6个\0xA1).