beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

   
首 頁  |  微點(diǎn)新聞  |  業(yè)界動態(tài)  |  安全資訊  |  安全快報  |  產(chǎn)品信息  |  網(wǎng)絡(luò)版首頁
通行證  |  客服中心  |  微點(diǎn)社區(qū)  |  微點(diǎn)郵局  |  常見問題  |  在線訂購  |  各地代理商
 

坦克5號Trojan-Downloader.Win32.Boltolog.a
來源:  2010-05-07 18:15:20

坦克5號

Trojan-Downloader.Win32.Boltolog.a

捕獲時間

2010-5-7

危害等級



病毒癥狀

  該樣本是使用“VC ”編寫的“木馬下載程序”,由微點(diǎn)主動防御軟件自動捕獲,長度為“443,870”字節(jié),圖標(biāo)為“
”,使用“exe”擴(kuò)展名,通過文件捆綁、網(wǎng)頁掛馬、下載器下載等方式進(jìn)行傳播。病毒主要目的是下載病毒木馬,盜取用戶信息。
  用戶中毒后會出現(xiàn)CPU占用率高,出現(xiàn)大量panzerfive.exe進(jìn)程,QQ帳戶密碼被盜等現(xiàn)象。

感染對象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

傳播途徑

網(wǎng)頁木馬、文件捆綁、下載器下載

防范措施

已安裝使用微點(diǎn)主動防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點(diǎn)主動防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動防御軟件升級到最新版,微點(diǎn)主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知間諜軟件“,請直接選擇刪除處理(如圖1);


圖1 微點(diǎn)主動防御軟件自動捕獲未知病毒(未升級)




如果您已經(jīng)將微點(diǎn)主動防御軟件升級到最新版本,微點(diǎn)將報警提示您發(fā)現(xiàn)木馬"Trojan-Downloader.Win32.Boltolog.a”,請直接選擇刪除(如圖2)。


圖2   微點(diǎn)主動防御軟件升級后截獲已知病毒




未安裝微點(diǎn)主動防御軟件的手動解決辦法:

1.手動刪除以下文件

%SystemRoot%\panzerfive.exe
%SystemRoot%\ppstream.dat
%SystemRoot%\TestDll.dll
%SystemRoot%\lpk.dll
%SystemRoot%\lpkbackup.dll
%SystemRoot%\lpkreal.dll

變量聲明:

  %SystemDriver%       系統(tǒng)所在分區(qū),通常為“C:\”
  %SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
  %Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
  %Temp%           臨時文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
  %ProgramFiles%       系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”

病毒分析
       
1.該樣本偽裝成圖片圖標(biāo)形式,騙取用戶點(diǎn)擊。運(yùn)行后比較自身是否為%SystemRoot%\panzerfive.exe,如果是則繼續(xù)執(zhí)行,如果不是則在%temp%目錄下釋放臨時文件ceh3.tmp(文件名隨機(jī)).并加載運(yùn)行,在%SystemRoot%目錄釋放病毒文件lpk.dll文件以及l(fā)pkreal.dll,lpkbackup.dll。創(chuàng)建進(jìn)程啟動panzerfive.exe。
2.panzerfive.exe運(yùn)行后創(chuàng)建%SystemRoot%\ppstream.dat記錄自身信息。釋放病毒文件%SystemRoot%\TestDll.dll。并利用rundll32.exe
加載運(yùn)行,設(shè)置全局鉤子,查找用戶QQ登陸窗口獲取帳戶密碼信息,提交到指定網(wǎng)址。并會從指定網(wǎng)址下載新的病毒木馬到本地運(yùn)行
3.lpk.dll會跟隨%SystemRoot%目錄下的程序(如explorer.exe)一起啟動,lpk.dll每次被加載運(yùn)行會查找%SystemRoot%目錄下是否有l(wèi)eass.exe,smess.exe,panzerfive.exe文件存在存在,如果找到則運(yùn)行,導(dǎo)到系統(tǒng)出現(xiàn)大量進(jìn)程,系統(tǒng)運(yùn)行緩慢。并可能彈出“your computer has been break”字樣對話框。
4.刪除病毒源文件,退出自身進(jìn)程。
  
病毒創(chuàng)建文件

%SystemRoot%\panzerfive.exe
%SystemRoot%\ppstream.dat
%SystemRoot%\TestDll.dll
%SystemRoot%\lpk.dll
%SystemRoot%\lpkbackup.dll
%SystemRoot%\lpkreal.dll
%Temp%\ceh3.tmp
  
病毒訪問網(wǎng)絡(luò):

http://fw9**.com/tj/bf/mail.asp?tomail=***
http://www.fw9**.com/tj/houmen/rows.exe 
http://www.xxx.com/qq070809/mail.asp?tomail=***
免費(fèi)體驗
下  載
安裝演示