王朝网络
分享
 
 
 

Win32.TrojDownloader.Agent.bl.139378

王朝system·作者佚名  2008-08-14
宽屏版  字体: |||超大  

病毒名称(中文):

劫持者下载器139378

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马下载器

病毒长度:

139378

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒为一个木马下载器。病毒运行后复制自身到系统目录,修改注册表、添加启动项,以达到随机启动的目的。它会破坏杀毒软件和安全辅助工具的正常运行,还会使中毒用户无法进入安全模式下查杀病毒。病毒发作后期,它会下载其它木马,盗取用户电脑上的敏感资料。

1.生成文件

c:\ProgramFiles\meex.exe

c:\ProgramFiles\CommonFile\System\.exe

c:\ProgramFiles\CommonFiles\MicrosoftShared\.exe

2.修改注册表,添加启动项,以达到随机启动的目的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Default="C:\ProgramFiles\CommonFiles\System\.exe"

3.删除注册表安全模式的有关信息,当开机时不能启动安全模式

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

Defualt="DiskDrive"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

Defualt="DiskDrive"

4.改变注册表值使隐藏文件不可见,达到病毒体隐藏目的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue=dword:00000000

5.禁用此计算机上的帮助与支持中心服务:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc

Start=dword:00000004

6.禁用网络地址转换、寻址、名称解析、和入侵保护服务:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

Start=dword:00000004

7.禁用监视系统安全设置和配置服务:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

Start=dword:00000004

8.禁用下载和安装Windows更新服务:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

Start=dword:00000004

9.映像劫持

通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统治理软件运行,并执行病毒体。

被劫持的软件包括:

360rpt.exe;

360Safe.exe;

360tray.exe;

adam.exe;

AgentSvr.exe;

AppSvc32.exe;

autoruns.exe;

avgrssvc.exe;

AvMonitor.exe;

avp.com;

avp.exe;

CCenter.exe;

ccSvcHst.exe;

FileDsty.exe;

FTCleanerShell.exe;

HijackThis.exe;

IceSword.exe;

iparmo.exe;

Iparmor.exe;

isPwdSvc.exe;

kabaload.exe;

KaScrScn.SCR;

KASMain.exe;

KASTask.exe;

KAV32.exe;

KAVDX.exe;

KAVPFW.exe;

KAVSetup.exe;

KAVStart.exe;

KISLnchr.exe;

KMailMon.exe;

KMFilter.exe;

KPFW32.exe;

KPFW32X.exe;

KPFWSvc.exe;

KRegEx.exe;

KRepair.COM;

KsLoader.exe;

KVCenter.kxp;

KvDetect.exe;

KvfwMcl.exe;

KVMonXP.kxp;

KVMonXP_1.kxp;

kvol.exe;

kvolself.exe;

KvReport.kxp;

KVScan.kxp;

KVSrvXP.exe;

KVStub.kxp;

kvupload.exe;

kvwsc.exe;

KvXP.kxp;

KvXP_1.kxp;

KWatch.exe;

KWatch9x.exe;

KWatchX.exe;

loaddll.exe;

MagicSet.exe;

mcconsol.exe;

mmqczj.exe;

mmsk.exe;

NAVSetup.exe;

nod32krn.exe;

nod32kui.exe;

PFW.exe;

PFWLiveUpdate.exe;

QHSET.exe;

Ras.exe;

Rav.exe;

RavMon.exe;

RavMonD.exe;

RavStub.exe;

RavTask.exe;

RegClean.exe;

rfwcfg.exe;

RfwMain.exe;

rfwProxy.exe;

rfwsrv.exe;

RsAgent.exe;

Rsaupd.exe;

runiep.exe;

safelive.exe;

scan32.exe;

shcfg32.exe;

SmartUp.exe;

SREng.exe;

symlcsvc.exe;

SysSafe.exe;

TrojanDetector.exe;

Trojanwall.exe;

TrojDie.kxp;

UIHost.exe;

UmxAgent.exe;

UmxAttachment.exe;

UmxCfg.exe;

UmxFwHlp.exe;

UmxPol.exe;

UpLive.EXE.exe;

WoptiClean.exe;

zxsweep.exe;

10.该病毒在各个驱动器下创建.exe前,首先判定驱动器的根目录下是否存在.exe文件或文件夹,假如存在则先尝试删除,

然后创建autorun.inf文件和对应可执行病毒文件。

11.从以下网址下载其他病毒文件至客户机器.

http://www.*****.com/Rettwn.txt

http://www.wt*****.com/TDown1.exe

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
>>返回首页<<
推荐阅读
 
 
频道精选
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
© 2005- 王朝网络 版权所有