beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

   
首 頁  |  微點新聞  |  業界動態  |  安全資訊  |  安全快報  |  產品信息  |  網絡版首頁
通行證  |  客服中心  |  微點社區  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

木馬下載器Trojan-Downloader.Win32.Apher.eb
來源:  2009-08-03 11:49:51

木馬下載器

Trojan-Downloader.Win32.Apher.eb

捕獲時間

2009-8-1

危害等級



病毒癥狀

 該樣本是使用“VC”編寫的木馬下載器,由微點主動防御軟件自動捕獲,長度為“32,768 字節”,圖標為“”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”等方式傳播,病毒主要目的為下載病毒,并運行。
  用戶中毒后,會出現系統運行緩慢、網絡速度降低等現象。

感染對象

Windows 2000/Windows XP/Windows 2003

傳播途徑

網頁木馬、文件捆綁、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);


圖1 微點主動防御軟件自動捕獲未知病毒(未升級)




如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Downloader.Win32.Apher.eb”,請直接選擇刪除(如圖2)。


  圖2   微點主動防御軟件升級后截獲已知病毒




未安裝微點主動防御軟件的手動解決辦法:

1、手動刪除以下文件:

  %SystemRoot%\System32\jtesm.exe
  %SystemDriver%\e4.exe
  
2、手動刪除以下注冊表值:
  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\jtesm


  變量聲明:

  %SystemDriver%       系統所在分區,通常為“C:\”
  %SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
  %Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
  %Temp%           臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
  %ProgramFiles%       系統程序默認安裝目錄,通常為:“C:\ProgramFiles”

病毒分析

(1)將病毒自身重命名為jtesm.exe復制到%SystemRoot%\System32\jtesm.exe,設置文件屬性為系統和隱藏。
(2)創建服務,通過服務的方式加載%SystemRoot%\System32\jtesm.exe。
(3)創建線程,從指定網址下載病毒,將其重命名保存到%SystemDriver%\e4.exe,并執行,設置e4.exe文件屬性為隱藏。
(4)建立Socket連接,將被感染主機的機器名,IP地址等信息發送到指定網址。
(5)創建進程,調用cmd.exe /del命令刪除自身。
  
  
病毒創建文件:
  
%SystemRoot%\System32\jtesm.exe
%SystemDriver%\e4.exe

  
  
  病毒創建注冊表:
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\jtesm
  
  
  病毒訪問網絡:
  
  http://avzhan.***.org:81/c.exe
    http:// testjks2.***.org

免費體驗
下  載
安裝演示