http://blogs.360.cn/360safe/2014/08/29/cnc_trojan_and_fake_proto/
原文:
BMP1和BMP2是两个lnk文件(快捷方式),我们知道bmp的图片是隐藏的,gldata连扩展名都没有,dll文件虽然是可执行程序,但双击也是没用的。所以用户自然会在如此精心的安排下点击这两个lnk文件。其中BMP2主要功能是将病毒主题添加到系统自启动,命令行如下:
C:WINDOWSsystem32 undll32.exe advpack.dll,LaunchINFSectionEx %appdata%gbrztmipgbrztmip.inf,DefaultInstall,,32
BMP1其实很简单,一个快捷方式而已,他要解决的问题其实只有一个——整个病毒里没有exe文件,而dll文件又不能直接自己运行。所以这个快捷方式的唯一作用就是调用系统的rundll32去执行dll文件:
C:WINDOWSsystem32 undll32.exe logmain.dll,gbrztmip
-----------------------------------------------------------------------------------------------------
另类加载dll,也就是快捷方式,启动参数
“C:WINDOWSsystem32 undll32.exe” advpack.dll,LaunchINFSectionEx %appdata%gbrztmipgbrztmip.inf,DefaultInstall,,32
启动rundll32.exe程序加载advpack.dll执行dll中的LaunchINFSectionEx函数,%appdata%gbrztmipgbrztmip.inf,DefaultInstall,,32为函数参数
“C:WINDOWSsystem32 undll32.exe” logmain.dll,gbrztmip
启动rundll32.exe程序加载logmain.dll执行dll中的gbrztmip函数