天高云淡

这是一个 c / c 编写的 IRC 后门程序，该病毒运行后首先动态获取需要的的API的地址并保存。并创建互斥量”fuck3rz”,确保只一个实列在运行。

之后该病毒获取当前进程的全路径名，若路径中包含”InsideTm”则退出。

该病毒把自己拷贝到%SystemDir%\\drivers\\wmiadapi.exe启动该进程进程。若拷贝失败,则设置文件时间信息与explorer.exe相同。

该病毒会设置如下注册表键值：

SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
\StandardProfile\Awmiadapi.exe:*:Enabled:AutoDiscovery/AutoPurge (ADAP) Service

Software\Microsoft\Windows\CurrentVersion\Run
AutoDiscovery/AutoPurge (ADAP) Service–〉%SystemDir%\\drivers\\wmiadapi.exe

Software\Microsoft\Windows\CurrentVersion\RunServices
AutoDiscovery/AutoPurge (ADAP) Service–〉%SystemDir%\\drivers\\wmiadapi.exe

Software\Microsoft\OLE
AutoDiscovery/AutoPurge (ADAP) Service–〉%SystemDir%\\drivers\\wmiadapi.exe

SYSTEM\CurrentControlSet\Control\Lsa
AutoDiscovery/AutoPurge (ADAP) Service–〉%SystemDir%\\drivers\\wmiadapi.exe

之后该病毒创建一个线程来检测多个杀毒的进程，假如发现则将其结束。

之后该病毒会一次完成以下操作：

1、获取网络状态，使用dns/socket连接cftp.dawnsoul.info

2、获取本地时间、os版本、系统目录和tcpip.sys的版本若符合条件则启动线程为tcpip.sys打补丁来破坏系统的一些正常网络功能。

3、进入shell命令循环

4、发送IRC登陆命令 NICK ?? USER ?? 0 0 :??

该病毒可以通过IRC来接受名，其支持的命令有：

命令格式:
nick_name(user):cmd2 cmd3 … cmdn\r\n

!PING target

nick_name(user)
—————
cmd2 cmd3 描述
————– —————- ————-
PING xxxx 类似echo,返回PONG xxxx

NOTICE

001
005
302
433
KICK
353
332
NICK
PART
QUIT
353

rnick –>返回nick_name “NICK %s\r\n” //%s->rand_num / pid
key –> 获取OS的ProductID
die 332 –>进程退出
logout
gftp –>返回CFTP server: stfu.own3d.biz, port: 21, user: username, pass: password, file: sexy.exe.
R.e.c.o.n.n.e.c.t –>reconnect
d.i.s.c.o.n.n.e.c.t –>close
leave
status –>返回SexyGame ready. Up