一级特黄性生活大片免费观看-一级特黄性色生活片-一级特黄性色生活片一区二区-一级特黄视频-国产最新视频-国产最新精品

   
首 頁  |  微點新聞  |  業界動態  |  安全資訊  |  安全快報  |  產品信息  |  網絡版首頁
通行證  |  客服中心  |  微點社區  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

木馬下載者Trojan-Downloader.Win32.Geral.djt
來源:  2012-12-01 09:52:29

木馬下載者

Trojan-Downloader.Win32.Geral.djt

捕獲時間

2012-12-01

危害等級



病毒癥狀

該樣本是使用“C/C ”編寫的“木馬下載者”,由微點主動防御軟件自動捕獲,采用“UPX”加殼,企圖避過殺軟掃描,加殼后長度為“35,328”字節,圖標為“
”,使用“exe”擴展名,通過移動存儲、網頁掛馬、下載器下載等方式進行傳播,病毒主要目的是惡意修改用戶系統并下載更多的病毒或木馬后門文件運行。

   用戶中毒后會出現電腦的運行速度變慢,殺軟無故退出而不能啟動,出現大量未知進程等現象。



感染對象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

傳播途徑

文件捆綁、網頁掛馬、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)


圖1 微點主動防御軟件自動捕獲未知病毒(未升級)










如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-Downloader.Win32.Geral.djt”,請直接選擇刪除(如圖2)。


圖2   微點主動防御軟件升級后截獲已知病毒








未安裝微點主動防御軟件的手動解決辦法:

1.手動停止并刪除服務"auyi"

2.手動刪除文件

"%ProgramFiles%\Common Files\rkdltecq\qioihz.pif"
"%SystemRoot%\system32\1.DEP(文件名隨機)"
"%SystemRoot%\system\NeRz"
"%SystemRoot%\temp\oqw.ini"
多個"%SystemDriver%\Documents and Settings\All Users\Documents\eoi3.tmp(文件名隨機)"
"移動磁盤根目錄偽裝為文件夾的exe文件"

3.修改注冊表

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck"
"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(默認)"


變量聲明:

  %SystemDriver%       系統所在分區,通常為“C:\”
  %SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
  %Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
  %Temp%           臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
  %ProgramFiles%       系統程序默認安裝目錄,通常為:“C:\ProgramFiles”

病毒分析:

1.創建名字為"ZONGYAODOANG"的互斥對象,防止重復執行。
2.創建目錄"C:\Program Files\Common Files\rkdltecq",并將自身拷貝重命名為"C:\Program Files\Common Files\rkdltecq\qioihz.pif"。
3.獲取系統目錄,創建文件"C:\WINDOWS\system32\1.DEP(文件名隨機)",寫入病毒數據,并加載該文件到當前進程地址空間調用其導出函數"Whaier"、"Simenze"。
4.文件"C:\WINDOWS\system32\1.DEP(文件名隨機)"加載執行之后:
(1)設置鍵值項"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck" = "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"、"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(默認)" = "C:\WINDOWS\system32\1.DEP"。
(2)執行命令"cmd /c sc stop policyagent",停止IPSEC安全策略服務。
(3)判斷當前進程是否為"360realpro.exe"、"360quart.exe"、"qqpcmgr.exe",如果是則創建文件"C:\WINDOWS\system\NeRz",創建名字為"auyi"的服務,執行映像指向"C:\WINDOWS\system\NeRz",并啟動此服務,刪除文件"C:\WINDOWS\system\NeRz"。
(4)與設備對象"\\.\KONGQIX"通信,試圖結束以下進程:
"ekrn.EXE"、"360rp.EXE"、"360tray.EXE"、"egui.EXE"、"nod32krn.EXE"、"nod32kui.EXE"、 "safeboxtray.EXE"、"360safebox.EXE"、"krnl360svc.EXE"、"ZhuDongFangYu.EXE"、 "360setupscan.EXE"、"RSTray.EXE"、"360sd.EXE"、"360rps.EXE"、"360sdrun.EXE"、 "360speedld.EXE"、"360leakfixer.EXE"、"DumpUper.EXE"、"avgnt.EXE"、"avnotify.EXE"、 "avguard.EXE"、"guardgui.EXE"、"avwebgrd.EXE"、"sched.EXE"、"avfwsvc.EXE"、 "BacsTray.EXE"、"kasmain.EXE"、"kaccore.EXE"、"kastray.EXE"、"kudiskmon.EXE"、 "beikearpmain.EXE"、"beikearpsvc.EXE"、"beikescan.EXE"、"RsMgrSvc.EXE"、 "kav.EXE"、"360safe.exe"、"mcshield.EXE"、"RavMonD.EXE"、"kavstart.EXE"、 "kwatch.EXE"、"kswebshield.exe"、"kxedefend.EXE"、"kxesapp.EXE"、"kxeserv.EXE"、 "kxetray.EXE"、"krepair.EXE"、"kpopserver.exe"、"KVMonXP.EXE"、"KVSrvXP.EXE"、 "KSafe.EXE"、"KSafeTray.EXE"、"KSafeSvc.EXE"、"KANSvr.EXE"、"KANSGUI.EXE"、 "QQDoctorRtp.exe"、"QQPCRTP.EXE"、"QQPCTray.EXE"、"TSVulFWMan.EXE"、 "QQPCMgr.EXE"、"QQPCLeakScan.EXE"、"Twister.EXE"、"avp.EXE",之后停止并刪除該服務。
(5)如果當前進程為"explorer.exe",則獲取系統目錄,下載文件"http://da.sh**aihuabian.com:53/s.gif"保存為"C:\WINDOWS\temp\oqw.ini",讀取文件"C:\WINDOWS\temp\oqw.ini"中的病毒網址信息,依次下載為"C:\Documents and Settings\All Users\Documents\eoi3.tmp(文件名隨機)"并執行。
(6)遍歷所有可移動磁盤,并將其根目錄文件夾屬性設置為系統和隱藏,之后將"C:\Program Files\Common Files\rkdltecq\qioihz.pif"拷貝重命名為"移動磁盤盤符:\文件夾名.exe"。


病毒創建文件:

"%ProgramFiles%\Common Files\rkdltecq\qioihz.pif"
"%SystemRoot%\system32\1.DEP(文件名隨機)"
"%SystemRoot%\system\NeRz"
"%SystemRoot%\temp\oqw.ini"
多個"%SystemDriver%\Documents and Settings\All Users\Documents\eoi3.tmp(文件名隨機)"
"移動磁盤根目錄偽裝為文件夾的exe文件"

病毒修改注冊表:

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck"
"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(默認)"

病毒訪問網絡:

"http://da.sh**aihuabian.com:53/s.gif"

相關主題:
沒有相關主題

免費體驗
下  載
安裝演示

主站蜘蛛池模板: 亚欧在线视频| 亚洲黄色在线视频| 无毒在线| 精品国产一区二区三区2021| 宅男毛片| 久久六视频| 99视频在线观看视频| 日本高清视频一区二区| 成人免费高清视频网址| 亚洲国产精品a一区二区三区| 久久在线国产| 91探花福利精品国产自产在线| 人人操美女| 一级做a爰片毛片| 九九精品免视看国产成人| 99国内精品| 毛片免费观看视频| 午夜精品久视频在线观看| 国产亚洲精品一区久久| 亚洲乱淫| 超级碰碰碰视频视频在线视频 | 久草视频国产| 特级a毛片| 国产成人亚洲精品影院| 欧美视频一区二区三区精品| 一级毛片无毒不卡直接观看| 国产一级在线现免费观看| 台湾一级特黄精品大片| 在线亚洲一区二区| 国产亚洲人成网站在线观看不卡| 亚洲第一区视频在线观看| 波多野结衣在线观看一区| 九九九热视频| 香蕉久久a毛片| 一级毛片成人免费看a| 国产一级做a爰片久久毛片| 视频在线色| 亚洲毛片免费视频| 国产第一夜| 精品欧美一区二区在线看片| 欧美成a人片在线观看久|