http://blogs.360.cn/360safe/2014/08/29/cnc_trojan_and_fake_proto/
原文:
BMP1和BMP2是两个lnk文件(快捷方式),我们知道bmp的图片是隐藏的,gldata连扩展名都没有,dll文件虽然是可执行程序,但双击也是没用的。所以用户自然会在如此精心的安排下点击这两个lnk文件。其中BMP2主要功能是将病毒主题添加到系统自启动,命令行如下:
C:\WINDOWS\system32\rundll32.exe advpack.dll,LaunchINFSectionEx %appdata%\gbrztmip\gbrztmip.inf,DefaultInstall,,32
BMP1其实很简单,一个快捷方式而已,他要解决的问题其实只有一个——整个病毒里没有exe文件,而dll文件又不能直接自己运行。所以这个快捷方式的唯一作用就是调用系统的rundll32去执行dll文件:
C:\WINDOWS\system32\rundll32.exe logmain.dll,gbrztmip
-----------------------------------------------------------------------------------------------------
另类加载dll,也就是快捷方式,启动参数
“C:\WINDOWS\system32\rundll32.exe” advpack.dll,LaunchINFSectionEx %appdata%\gbrztmip\gbrztmip.inf,DefaultInstall,,32
启动rundll32.exe程序加载advpack.dll执行dll中的LaunchINFSectionEx函数,%appdata%\gbrztmip\gbrztmip.inf,DefaultInstall,,32为函数参数
“C:\WINDOWS\system32\rundll32.exe” logmain.dll,gbrztmip
启动rundll32.exe程序加载logmain.dll执行dll中的gbrztmip函数
原文:http://www.cnblogs.com/nightnine/p/4970214.html