beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

   
首 頁  |  微點新聞  |  業界動態  |  安全資訊  |  安全快報  |  產品信息  |  網絡版首頁
通行證  |  客服中心  |  微點社區  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

木馬下載器Trojan-Downloader.Win32.Agent.bfjm
來源:  2009-06-23 16:18:24

木馬下載器

Trojan-Downloader.Win32.Agent.bfjm

捕獲時間

2009-6-23

危害等級

2

病毒癥狀

  該樣本是使用“vc”編寫的木馬下載器,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為“29,184 字節”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”等方式傳播,病毒主要目的為下載大量病毒并運行。

  用戶中毒后,會出現安全軟件無故關閉,網絡運行緩慢,出現大量未知進程,windows系統無故報錯等現象。

感染對象

Windows 2000/Windows XP/Windows 2003

傳播途徑

網頁木馬、文件捆綁、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);


圖1 微點主動防御軟件自動捕獲未知病毒(未升級)



如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現" Trojan-PSW.Win32.OnLineGames.eini”,請直接選擇刪除(如圖2)。


          圖2   微點主動防御軟件升級后截獲已知病毒



未安裝微點主動防御軟件的手動解決辦法:

1、使用相同版本文件替換%SystemRoot%\system32\userinit.exe,并修復%SystemRoot%\system32\drivers\etc\hosts文件
 
2、手動刪除以下文件:

%Temp%\~5dcdb1.tmp
 
3、手動刪除以下注冊表值:

鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZX
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe
數據:services.exe

變量聲明:

%SystemDriver%       系統所在分區,通常為“C:\”
%SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp%           臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles%       系統程序默認安裝目錄,通常為:“C:\ProgramFiles” 

病毒分析

(1)創建互斥,防止第二次運行,嘗試打開"wscsvc"服務,如果成功,停止wscsvc服務
(2)遍歷進程,發現并關閉如下進程
        rstray.exe
        rsnetsvr.exe
        ccenter.exe
        scanfrm.exe
        ravmond.exe
        ravtask.exe
        rsmain.exe
        rfwsrv.exe
        ras.exe
        kavstart.exe
        kissvc.exe
        kamilmon.exe
        kpfw32.exe
        kpfwsvc.exe
        kwatch.exe
        kaccore.exe
(3)釋放動態庫文件~5d252a.t,遍歷進程,如果發現以下進程,加載動態庫,動態庫會釋放驅動文件~4b296d.t,創建服務,啟動驅動,結束如下進程,刪除驅動文件、服務、動態庫文件
        360tray.exe
        safeboxtray.exe
        avp.exe
(4)嘗試打開服務ekrn,如果成功,停止服務,結束ekrn.exe和egui.exe進程
(5)釋放驅動文件~5d8f70.tmp和病毒文件~5dcdb1.tmp,運行~5dcdb1.tmp
(6)病毒文件~5dcdb1.tmp,查看自身是否是userinit.exe,如果是,運行explorer.exe進程,如果發現qq.exe 進程,訪問指定統計網址,發現cmd.exe進程,結束cmd.exe進程,下載病毒列表,遍歷進程,如果沒有avp.exe進程,運行下載的病毒。下載指定文件,覆蓋hosts文件,訪問病毒統計地址,最后下載更新病毒
(7)創建zx服務,啟動驅動~4d368f.tmp,修改%SystemRoot%\System32\userinit.exe,刪除驅動文件
(8)設置下次計算機啟動刪除病毒主程序  
  
病毒創建文件:
  
%Temp%\~5d252a.t
%Temp%\~4b296d.t
%Temp%\~5dcdb1.tmp
%Temp%\~5d8f70.tmp

病毒修改文件:
  
%SystemRoot%\System32\userinit.exe
%SystemRoot%\system32\drivers\etc\hosts

病毒刪除文件:
  
%Temp%\~5d252a.t
%Temp%\~4b296d.t
%Temp%\~5d8f70.tmp

病毒創建注冊表:
  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccddc
  
病毒刪除注冊表:
  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccddc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe
  
病毒訪問網絡:
  
http://txts.cj***.cn:889/txt1/ok.txt
http://up.cj***.cn:889/jpg1/ad.jpg
http://tts.cj-tt.cn:889/mclist/getmac.asp
http://ups.cj***.cn:889/up2/up
http://mm.cj***.cn:8888/mm/lm/new1.exe
http://mm.cj***.cn:8888/mm/lm/new2.exe
http://mm.cj***.cn:8888/mm/lm/new4.exe
http://mm.cj***.cn:8888/mm/lm/new6.exe
http://mm.cj***.cn:8888/mm/lm/new7.exe
http://mm.cj***.cn:8888/mm/lm/new8.exe
http://mm.cj***.cn:8888/mm/lm/new10.exe
http://mm.cj***.cn:8888/mm/lm/new11.exe
http://mm.cj***.cn:8888/mm/lm/new12.exe
http://mm.cj***.cn:8888/mm/lm/new14.exe
http://mm.cj***.cn:8888/mm/lm/new15.exe
http://mm.cj***.cn:8888/mm/lm/new16.exe
http://mm.cj***.cn:8888/mm/lm/new17.exe
http://mm.cj***.cn:8888/mm/lm/new20.exe
http://mm.cj***.cn:8888/mm/lm/new21.exe
http://mm.cj***.cn:8888/mm/lm/new22.exe
http://mm.cj***.cn:8888/mm/jx/new3.exe
http://mm.cj***.cn:8888/mm/jx/new4.exe
http://mm.cj***.cn:8888/mm/jx/new5.exe
http://mm.cj***.cn:8888/mm/jx/new6.exe
http://mm.cj***.cn:8888/mm/jx/new7.exe
http://mm.cj***.cn:8888/mm/jx/new8.exe
http://mm.cj***.cn:8888/mm/jx/new9.exe
http://mm.cj***.cn:8888/mm/la/new3.exe
http://mm.cj***.cn:8888/mm/la/new4.exe
http://mm.cj***.cn:8888/mm/la/new5.exe
http://mm.cj***.cn:8888/mm/la/new6.exe
http://mm.cj***.cn:8888/mm/jm/new1.exe
http://mm.cj***.cn:8888/mm/jm/new2.exe
http://mm.cj***.cn:8888/mm/tx/new2.exe
http://mm.cj***.cn:8888/mm/tx/new3.exe
http://mm.cj***.cn:8888/mm/qt/new6.exe
http://mm.cj***.cn:8888/mm/qt/new7.exe
http://mm.cj***.cn:8888/mm/qt/new1.exe
http://mm.cj***.cn:8888/mm/qt/new3.exe
http://mm.cj***.cn:8888/mm/qt/new4.exe
免費體驗
下  載
安裝演示