一级特黄性生活大片免费观看-一级特黄性色生活片-一级特黄性色生活片一区二区-一级特黄视频-国产最新视频-国产最新精品

   
首 頁  |  微點新聞  |  業界動態  |  安全資訊  |  安全快報  |  產品信息  |  網絡版首頁
通行證  |  客服中心  |  微點社區  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

木馬下載者Trojan-Downloader.Win32.Agent.ccai
來源:  2012-07-17 11:48:08

木馬下載者

Trojan-Downloader.Win32.Agent.ccai

捕獲時間

2012-07-17

危害等級



病毒癥狀

    該樣本是使用“VC ”編寫的“木馬下載器”,由微點主動防御軟件自動捕獲,采用“nSPack”加殼方式,企圖躲避特征碼掃描,加殼后長度為“38,946”字節,圖標為“”,使用“exe”擴展名,通過文件捆綁、網頁掛馬、下載器下載等方式進行傳播。
    病毒主要目的是指引用戶計算機到黑客指定的URL地址去下載更多的病毒或木馬后門文件并運行。
    用戶中毒后會出現電腦的運行速度變慢,殺軟無故退出而不能啟動,出現大量未知進程等現象。

感染對象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

傳播途徑

文件捆綁、網頁掛馬、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜”,請直接選擇刪除處理(如圖1)


圖1 微點主動防御軟件自動捕獲未知病毒(未升級)



如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-Downloader.Win32.Agent.ccai”,請直接選擇刪除(如圖2)。


圖2   微點主動防御軟件升級后截獲已知病毒



未安裝微點主動防御軟件的手動解決辦法:

1.手動停止并刪除"pcidump"、"AsyncMac"、"aec"等病毒服務

2.手動刪除以下文件
"%Temp%\~Frm.exe"
"%SystemRoot%\system32\updater.exe"
"%SystemRoot%\system32\drivers\pcidump.sys"
"%Temp%\tmp.tmp"
"%Temp%\pctools.tmp"
"%Temp%\8939960_xeex.exe(前綴數字隨機生成)"
"%SystemRoot%\system32\drivers\AsyncMac.sys"
"%SystemRoot%\system32\drivers\aec.sys"

3.手動刪除注冊表
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\殺軟名稱"


變量聲明:

  %SystemDriver%       系統所在分區,通常為“C:\”
  %SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
  %Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
  %Temp%           臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
  %ProgramFiles%       系統程序默認安裝目錄,通常為:“C:\ProgramFiles”

病毒分析:

1.獲取系統目錄,創建文件"C:\WINDOWS\system32\killdll.dll",寫入病毒數據。加載該文件并執行其導出函數"killall",命令格式如"C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\killdll.dll killall",之后將該文件刪除。
2.獲取系統緩存目錄,創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Frm.exe",寫入病毒數據并執行。
3.獲取系統目錄,將病毒自身移動重命名為"C:\WINDOWS\system32\updater.exe"。
4.獲取系統目錄,創建文件"C:\WINDOWS\system32\drivers\pcidump.sys",寫入病毒數據,創建內核驅動類型服務"pcidump",執行映像指向"\??\C:\WINDOWS\system32\drivers\pcidump.sys",并啟動此服務。
5.打開設備對象"\\.\pcidump",發送"222014"控制請求,之后將"pcidump"服務停止并刪除,該文件加載之后hook SSDT函數"ZwQuerySystemInformation",隱藏病毒文件、進程等信息。
6.獲取系統緩存目錄,創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_undelme.bat",寫入批處理并執行,將病毒文件和自身刪除。
7."C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~Frm.exe"運行之后:
(1)判斷自身是否為"C:\WINDOWS\system32\userinit.exe",如果是則執行"C:\WINDOWS\explorer.exe",并跳過步驟(2)。
(2)設置"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\updater" = "C:\WINDOWS\system32\updater.exe"實現病毒開機自啟動。
(3)向全局原子表中添加名字為"TTXOOBBAACCDD"的原子,如果該名字存在則退出,避免病毒重復運行。
(4)獲取系統緩存目錄,創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.tmp",寫入病毒數據。
(5)創建宿主進程"C:\WINDOWS\system32\svchost.exe"。創建遠程線程將"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.tmp"注入到該進程并執行。
(6)拼接并打開網址"http://www.*.c**/count.asp?mac=00c029****fe&xxx=z1",將本地mac地址發送到遠程主機。
8."tmp.tmp"加載之后,開辟新線程,下載文件"http://zhu.wujid*s*ob*:9099/a.txt"保存為"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\pctools.tmp"。讀取其中的網址信息:
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wujiqq.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wujidnf.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji2.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/ss*ob*wuji3.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji4.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji5.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji7.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji9.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji12.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji13.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wuji23.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/systtm.exe"
"http://down3.e***ock.com.cn/stockdoctor***883.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/s*ob*wujitu.exe"
"http://zhu.wujid*s*ob*.com:9099/Best/false.exe"
保存為本地文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\8939960_xeex.exe(前綴數字隨機生成)"并執行。
9."killdll.dll"加載運行之后:
(1)提升當前進程權限為"SeDebugPrivilege(調試特權級)"。
(2)枚舉進程快照,查找進程"CCENTER.EXE(瑞星組件進程)",刪除原文件"C:\WINDOWS\system32\drivers\AsyncMac.sys",重新創建此文件并寫入病毒數據,創建內核驅動類型服務"AsyncMac",執行映像指向"C:\WINDOWS\system32\drivers\AsyncMac.sys",并啟動此服務。
(3)打開設備對象"\\.\KILLPS_Drv",查找如下反病毒進程:
"avp.exe"、"safeboxTray.exe"、"360Safebox.exe"、"360tray.exe"、"antiarp.exe"、"ekrn.exe"、 "RsAgent.exe"、"egui.exe"、"RavMon.exe"、"RavMonD.exe"、"RavTask.exe"、"AAglvgp,gzg"、 "RavStub.exe"、"RsTray.exe"、"ScanFrm.exe"、"Rav.exe"、"AgentSvr.exe"、"AAglvgp,gzg"、 "QQDoctor.exe"、"McProxy.exe"、"McNASvc.exe"、"Mcshield.exe"、"rsnetsvr.exe"、 "MpfSrv.exe"、"MPSVC.EXE"、"MPSVC3.EXE"、"IKQQta,gzg"、"IKQQta,gzg"、"kmailmon.exe"、 "KavStart.exe"、"KPFW32.EXE"、"KVMonXP.KXP"、"KVSrvXP.exe"、"ccSetMgr.exe"、 "ccEvtMgr.exe"、"defwatch.exe"、"rtvscan.exe"、"ccapp.exe"、"vptray.exe"、"mcupdmgr.exe"、 "mcproxy.exe"、"mcshield.exe"、"MPFSrv.exe"、"mcsysmon.exe"、"mcmscsvc.exe"、 "mcnasvc.exe"、"mcagent.exe"、"mcshell.exe"、"mcinsupd.exe"、"bdagent.exe"、 "livesrv.exe"、"vsserv.exe"、"xcommsvr.exe"。并向設備對象發送"222004"控制請求以及進程id,強制結束該進程,并以"cmd /c sc config **** start= disabled"、"cmd /c taskkill /im **** /f"等命令禁用"ekrn.exe"、"avp.exe"、"bdagent.exe"等殺軟服務,結束殺軟進程。
(2)創建以上殺軟進程映像劫持鍵值項"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\殺軟名稱" = "C:\WINDOWS\system32\svchost.exe",企圖攔截殺軟進程啟動。
(3)停止服務"AsyncMac",并刪除文件"C:\WINDOWS\system32\drivers\AsyncMac.sys"。
(4)創建病毒文件替換掉文件"C:\WINDOWS\system32\drivers\aec.sys",寫入病毒數據,創建內核驅動類型服務"aec",執行映像指向"C:\WINDOWS\system32\drivers\aec.sys",并啟動此服務。
(5)打開設備對象"\\.\xzwinDOS",之后停止服務"aec",刪除文件"C:\WINDOWS\system32\drivers\aec.SYS"。
(6)執行命令"cmd /c sc config RavTask start= disabled"、"cmd /c sc config RsScanSrv start= disabled"、"cmd /c sc config RavTray start= disabled"、"cmd /c sc config RsRavMon start= disabled"、"cmd /c sc config RavCCenter start= disabled"。禁用殺軟服務。

病毒創建文件:

"%SystemRoot%\system32\killdll.dll"
"%Temp%\~Frm.exe"
"%SystemRoot%\system32\updater.exe"
"%SystemRoot%\system32\drivers\pcidump.sys"
"%Temp%\_undelme.bat"
"%Temp%\tmp.tmp"
"%Temp%\pctools.tmp"
"%Temp%\8939960_xeex.exe(前綴數字隨機生成)"
"%SystemRoot%\system32\drivers\AsyncMac.sys"
"%SystemRoot%\system32\drivers\aec.sys"

病毒刪除文件:

"%SystemRoot%\system32\killdll.dll"
"%Temp%\_undelme.bat"
"%SystemRoot%\system32\drivers\AsyncMac.sys"
"%SystemRoot%\system32\drivers\aec.sys"
病毒文件自身

病毒修改注冊表:

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\殺軟名稱"

免費體驗
下  載
安裝演示

主站蜘蛛池模板: 特黄特黄黄色大片| 一本久道在线| 老妇激情毛片| 一本久久道| 国产成人tv在线观看| 欧美午夜在线播放| 99re热精品视频国产免费| 国产亚洲精品成人a在线| 一本本久综合久久爱| 黄色一级片网址| 亚洲网站在线播放| 久久成人免费大片| 欧美午夜成年片在线观看| 国产日韩在线视频| 亚洲国产日韩精品| 日本作爱| 国产精品91av| 九九热视频在线免费观看| 亚洲国产一成人久久精品| 国产精品三级a三级三级午夜| 性久久久久久久久久| 99久久免费精品视频| 国产国产人免费视频成69堂| 日本aaaa片毛片免费| 国产午夜爽爽窝窝在线观看| 欧美日本一区二区三区| 日韩欧美一区二区三区不卡在线| 俄罗斯毛片免费大全| 国产一区二区高清在线| 久久国产精品歌舞团| 欧美一级精品| 日韩欧美精品在线视频| 亚洲精品久久久久中文 | 国产香蕉国产精品偷在线观看| 久久久国产免费影院| 免费国产成人高清在线看软件 | 中文字幕一区二区小泽玛利亚| 久久久免费网站| 美女一级毛片视频| 免看一级a毛片一片成人不卡| 一区二区视屏|