流氓软件My123分析报告

　　恶意程序My123

　　这是一个使用[C++]编写的，使用驱动保护的恶意程序。系统被感染后，打开IE或者其他浏览器起始页面被篡改为http://***.my123.com/。通过其他恶意程序或者自身下载升级下载并得到执行。

　　该程序修改IE起始页，并使用HOOK技术，导致Start Page内容无法正确读取，使用随机文件名达到屏蔽文件名清除模式。

　　1. 恶意软件的升级

　　首先下下载升级内容，然后从升级配置中获取更进一步的自身升级地址。

　　http://dl.hao318.com/dl/mspalnt1.ini
　　http://dl.hao318.com/dl/mspalnt2.ini
　　http://dl.hao318.com/dl/mspalnt3.ini

　　2. DLL本体会复制到系统目录(%SYSTEMDIR%)

　　驱动则被复制到驱动目录(%SYSTEMDIR%\Drivers\)

　　3. 创建注册表项

　　HKEY_LOCAL_MACHINE\Software\wsword
　　HKEY_LOCAL_MACHINE\Software\mspalnt
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce

　　添加数据为%SYSTEMDIR%\Rundll32.exe "%SYSTEMDIR%\[随机文件名].DLL",DllCanUnloadNow
　　%SYSTEMDIR%\Rundll32.exe "%SYSTEMDIR%\[随机文件名].DLL",DllUnregisterServer

　　4. 会安装驱动进行自我保护