beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

   
首 頁  |  微點新聞  |  業界動態  |  安全資訊  |  安全快報  |  產品信息  |  網絡版首頁
通行證  |  客服中心  |  微點社區  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

輸入法殺手變種(“犇牛”變種)Trojan-Downloader.Win32.EDog.bo
來源:  2009-02-16 16:30:52



捕獲時間

2009-2-15

病毒摘要

該樣本是使用“VC ”編寫的木馬下載器,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,試圖躲避特征碼掃描,加殼后長度為“38,912 字節”,圖標為“”,病毒擴展名為“exe”,主要通過“網頁木馬”、“文件捆綁”等方式傳播,病毒主要目的為下載大量木馬程序至用戶主機運行。



感染對象

Windows 2000/Windows XP/Windows 2003

傳播途徑

網頁木馬、文件捆綁

防范措施

已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);


          圖1 微點主動防御軟件自動捕獲未知病毒(未升級)



如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Downloader.Win32.EDog.bo”,請直接選擇刪除(如圖2)。


          圖2   微點主動防御軟件升級后截獲已知病毒



對于未使用微點主動防御軟件的用戶,微點反病毒專家建議
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3、開啟windows自動更新,及時打好漏洞補丁。

病毒分析

(1)、建立名為“puuyt”的互斥體;
(2)、遍歷安全軟件進程,將找到的進程映像劫持;
(3)、調用系統“rundll32.exe”使用參數“enums”加載“0976.dll”;
(4)、修改系統文件“beep.sys”,恢復SSDT表,完成后復原“beep.sys”文件;
(5)、釋放驅動文件“1696”,改寫系統輸入法程序“ctfmon.exe”;
(6)、訪問網絡下載大量木馬后運行;
(7)、修改系統Host表

  病毒創建文件:
  
  %Temp%\0976.dll
  %Temp%\1696
  %Temp%\16dd84.dll(隨機文件名)
  %SystemRoot%\system32\sadfasdf.jpg
  
  病毒修改文件:
  
  %SystemRoot%\system32\drivers\beep.sys
  %SystemRoot%\system32\ctfmon.exe
  
  病毒刪除文件:
  
  %Temp%\1696
  
  病毒創建注冊表:
  
  鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zg
  
  病毒修改注冊表:
  
  鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manage
  值:PendingFileRenameOperations
  
  病毒刪除注冊表:
  
  鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zg
  
  病毒訪問網絡:
  
  http://txt.mo**q.com/oo.txt
  http://www.im**o.com/new/new1.exe
  http://www.im**o.com/new/new2.exe
  http://www.im**o.com/new/new3.exe
  http://www.im**o.com/new/new4.exe
  http://www.im**o.com/new/new5.exe
  http://www.im**o.com/new/new6.exe
  http://www.im**o.com/new/new7.exe
  http://www.im**o.com/new/new8.exe
  http://www.im**o.com/new/new9.exe
  http://www.im**o.com/new/new10.exe
  http://www.im**o.com/new/new11.exe
  http://www.im**o.com/new/new12.exe
  http://www.im**o.com/new/new13.exe
  http://www.im**o.com/new/new14.exe
  http://www.im**o.com/new/new15.exe
  http://www1.im**o.com/new/new16.exe
  http://www1.im**o.com/new/new17.exe
  http://www1.im**o.com/new/new18.exe
  http://www1.im**o.com/new/new19.exe
  http://www1.im**o.com/new/new20.exe
  http://www1.im**o.com/new/new21.exe
  http://www1.im**o.com/new/new22.exe
  http://www1.im**o.com/new/new23.exe
  http://www1.im**o.com/new/new24.exe
  http://www1.im**o.com/new/new25.exe
  http://www1.im**o.com/new/new26.exe
  http://www1.im**o.com/new/new27.exe
  http://www1.im**o.com/new/new28.exe
  http://txt.mo**q.com/ad.jpg
  http://tongji.ombb***.cn/select/getmac.asp
免費體驗
下  載
安裝演示