beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

   
首 頁  |  微點(diǎn)新聞  |  業(yè)界動態(tài)  |  安全資訊  |  安全快報  |  產(chǎn)品信息  |  網(wǎng)絡(luò)版首頁
通行證  |  客服中心  |  微點(diǎn)社區(qū)  |  微點(diǎn)郵局  |  常見問題  |  在線訂購  |  各地代理商
 

木馬下載者Trojan-Downloader.Win32.Nekill.ec
來源:  2012-02-05 16:59:17

木馬下載者

Trojan-Downloader.Win32.Nekill.ec

捕獲時間

2012-02-05

危害等級



病毒癥狀

   該樣本是使用“Microsoft Visual C 6.0”編寫的下載器,由微點(diǎn)主動防御軟件自動捕獲,長度為“73,728”字節(jié),圖標(biāo)為“”,使用“exe”擴(kuò)展名,通過移動存儲介質(zhì)、文件捆綁、網(wǎng)頁掛馬、下載器下載等方式進(jìn)行傳播。病毒主要目的是指引用戶計算機(jī)到黑客指定的URL地址去下載更多的病毒或木馬后門文件并運(yùn)行。
  用戶中毒后會出現(xiàn)IE自動打開可疑網(wǎng)絡(luò),下載木馬,電腦運(yùn)行緩慢等現(xiàn)象。

感染對象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

傳播途徑

文件捆綁、網(wǎng)頁掛馬、下載器下載

防范措施

已安裝使用微點(diǎn)主動防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點(diǎn)主動防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動防御軟件升級到最新版,微點(diǎn)主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1)


圖1 微點(diǎn)主動防御軟件自動捕獲未知病毒(未升級)



如果您已經(jīng)將微點(diǎn)主動防御軟件升級到最新版本,微點(diǎn)將報警提示您發(fā)現(xiàn)木馬"Trojan-Downloader.Win32.Nekill.ec ”,請直接選擇刪除(如圖2)。


圖2   微點(diǎn)主動防御軟件升級后截獲已知病毒



未安裝微點(diǎn)主動防御軟件的手動解決辦法:

手動刪除以下文件:

%Temp%\fvq4.tmp

手動刪除注冊表項(xiàng):

鍵:HKEY_LOCAL_MACHINE\SOFTWARE\ASD\STM

變量聲明:

  %SystemDriver%       系統(tǒng)所在分區(qū),通常為“C:\”
  %SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
  %Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
  %Temp%           臨時文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
  %ProgramFiles%       系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”

病毒分析:

1、樣本運(yùn)行后,創(chuàng)建一個名為"Global\571AD448-1F69-47d5-AEC1-D5EA2234409B"的終端服務(wù)。
2、獲取網(wǎng)絡(luò)地址"http://60.217.***/pl1.txt", 解密出網(wǎng)絡(luò)地址"8475.***.cn"、"yahoo.com.cn"、"163.com"、"baidu.com"。
3、調(diào)用gethostbyname()獲取"yahoo.com.cn"、"163.com"、"baidu.com"的主機(jī)名字和地址信息,若不成功,則初始化網(wǎng)絡(luò)訪問,連接網(wǎng)絡(luò)"8475.***.cn",發(fā)送用戶信息到該網(wǎng)址。
4、若成功則不連接"8475.***.cn",獲取磁盤的相關(guān)信息,打開互斥體"1559014776",查看是否有樣本已經(jīng)運(yùn)行。
5、創(chuàng)建注冊表項(xiàng)"HKEY_LOCAL_MACHINE\SOFTWARE\ASD",鍵名為"STM"鍵值為1322539366。
6、打開網(wǎng)絡(luò)地址"http://60.217.***/pl1.txt",獲取網(wǎng)址"http://sp.***.com/88.exe",從該網(wǎng)址下載文件保存為"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fvq4.tmp"。
7、休眠0.5秒,以創(chuàng)建線程的方式運(yùn)行"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fvq4.tmp"。

病毒創(chuàng)建文件:

%Temp%\fvq4.tmp

病毒創(chuàng)建注冊表:

鍵:HKEY_LOCAL_MACHINE\SOFTWARE\ASD\STM

病毒訪問網(wǎng)絡(luò):

http://60.217.***/pl1.txt
8475.***.cn
http://sp.***.com/88.exe
相關(guān)主題:
沒有相關(guān)主題

免費(fèi)體驗(yàn)
下  載
安裝演示