"木馬下載器"病毒阻止用戶進入安全模式
【賽迪網-IT技術報道】Win32.TrojDownloader.Agent.bl.139378病毒為一個木馬下載器。病毒運行後複製自身到系統目錄,修改註冊表、添加啟動項,以達到隨機啟動的目的。它會破壞殺毒軟體和安全輔助工具的正常運行,還會使中毒用戶無法進入安全模式下查殺病毒。病毒發作後期,它會下載其它木馬,盜取用戶電腦上的敏感資料。
病毒名稱(中文):劫持者下載器139378
威脅級別:★★☆☆☆
病毒類型:木馬下載器
病毒長度:139378
影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為:
該病毒為一個木馬下載器。病毒運行後複製自身到系統目錄,修改註冊表、添加啟動項,以達到隨機啟動的目的。它會破壞殺毒軟體和安全輔助工具的正常運行,還會使中毒用戶無法進入安全模式下查殺病毒。病毒發作後期,它會下載其它木馬,盜取用戶電腦上的敏感資料。
1.生成文件
c:/Program Files/meex.exec:/Program Files/Common File/System/.exec:/Program Files/Common Files/Microsoft Shared/.exe |
2.修改註冊表,添加啟動項,以達到隨機啟動的目的
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunDefault = "C:/Program Files/Common Files/System/.exe" |
3.刪除註冊表安全模式的有關信息,當開機時不能啟動安全模式
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}Defualt = "DiskDrive"HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}Defualt = "DiskDrive" |
4.改變註冊表值使隱藏文件不可見,達到病毒體隱藏目的
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALLCheckedValue = dword:00000000 |
5.禁用此計算機上的幫助與支持中心服務:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/helpsvcStart = dword:00000004 |
6.禁用網絡地址轉換、尋址、名稱解析、和入侵保護服務:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccessStart = dword:00000004 |
7.禁用監視系統安全設置和配置服務:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/wscsvcStart = dword:00000004 |
8.禁用下載和安裝Windows更新服務:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/wuauservStart = dword:00000004 |
9.映像劫持
通過在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options下添加註冊表項來進行文件映像劫持,可阻止大量安全軟體及系統管理軟體運行,並執行
病毒體。
被劫持的軟體包括:
360rpt.exe;360Safe.exe;360tray.exe;adam.exe;AgentSvr.exe;AppSvc32.exe;autoruns.exe;avgrssvc.exe;AvMonitor.exe;avp.com;avp.exe;CCenter.exe;ccSvcHst.exe;FileDsty.exe;FTCleanerShell.exe;HijackThis.exe;IceSword.exe;iparmo.exe;Iparmor.exe;isPwdSvc.exe;kabaload.exe;KaScrScn.SCR;KASMain.exe;KASTask.exe;KAV32.exe;KAVDX.exe;KAVPFW.exe;KAVSetup.exe;KAVStart.exe;KISLnchr.exe;KMailMon.exe;KMFilter.exe;KPFW32.exe;KPFW32X.exe;KPFWSvc.exe;KRegEx.exe;KRepair.COM;KsLoader.exe;KVCenter.kxp;KvDetect.exe;KvfwMcl.exe;KVMonXP.kxp;KVMonXP_1.kxp;kvol.exe;kvolself.exe;KvReport.kxp;KVScan.kxp;KVSrvXP.exe;KVStub.kxp;kvupload.exe;kvwsc.exe;KvXP.kxp;KvXP_1.kxp;KWatch.exe;KWatch9x.exe;KWatchX.exe;loaddll.exe;MagicSet.exe;mcconsol.exe;mmqczj.exe;mmsk.exe;NAVSetup.exe;nod32krn.exe;nod32kui.exe;PFW.exe;PFWLiveUpdate.exe;QHSET.exe;Ras.exe;Rav.exe;RavMon.exe;RavMonD.exe;RavStub.exe;RavTask.exe;RegClean.exe;rfwcfg.exe;RfwMain.exe;rfwProxy.exe;rfwsrv.exe;RsAgent.exe;Rsaupd.exe;runiep.exe;safelive.exe;scan32.exe;shcfg32.exe;SmartUp.exe;SREng.exe;symlcsvc.exe;SysSafe.exe;TrojanDetector.exe;Trojanwall.exe;TrojDie.kxp;UIHost.exe;UmxAgent.exe;UmxAttachment.exe;UmxCfg.exe;UmxFwHlp.exe;UmxPol.exe;UpLive.EXE.exe;WoptiClean.exe;zxsweep.exe; |
10.該病毒在各個驅動器下創建.exe前,首先判斷驅動器的根目錄下是否存在.exe文件或文件夾,如果存在則先嘗試刪除,然後創建autorun.inf文件和對應可執行病毒文件。
11.從以下網址下載其他病毒文件至客戶機器。
hxxp://www.*****.com/Rettwn.txthxxp://www.wt*****.com/TDown1.exe |
(