欢乐颂小说结局是什么,欢乐颂第一季,神武八荒一颗小说

木馬下載器Trojan-Downloader.Win32.Geral.cr

來源： 2009-09-29 16:37:44

木馬下載器

Trojan-Downloader.Win32.Geral.cr

捕獲時間

2009-9-28

危害等級

高

病毒癥狀

　該樣本是使用“VC”編寫的木馬下載器，由微點主動防御軟件自動捕獲，采用“ASPack”加殼方式，企圖躲避特征碼掃描，加殼后長度為“34,497 字節 ”，圖標為“
”，病毒擴展名為“exe”，主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”等方式傳播，病毒主要目的為下載大量病毒并運行。
　　用戶中毒后，會出現大多數殺毒軟件退出和無法正常運行,系統運行緩慢,網絡速度變緩,出現大量未知進程等現象。

感染對象

Windows 2000/Windows XP/Windows 2003

傳播途徑

網頁木馬、文件捆綁、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶，無須任何設置，微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本，微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版，微點主動防御軟件在發現該病毒后將報警提示您發現“RootKit程序”，請直接選擇刪除處理（如圖1）；

圖1 微點主動防御軟件自動捕獲未知病毒（未升級）

如果您已經將微點主動防御軟件升級到最新版本，微點將報警提示您發現"Trojan-Downloader.Win32.Geral.cr”，請直接選擇刪除（如圖2）。

圖2 微點主動防御軟件升級后截獲已知病毒

未安裝微點主動防御軟件的手動解決辦法：

1、手動恢復以下文件：

拷貝相同版本文件到: %SystemRoot%\system32\drivers\gm.dls
拷貝相同版本文件到: %SystemRoot%\explorer.exe
拷貝相同版本文件到: %SystemRoot%\system32\drivers\etc\hosts

2、手動刪除以下文件：

%SystemRoot%\aa0.exe
%TEMP%\ope1.tmp
%SystemRoot%\temp\explorer.exe
%SystemRoot%\system32\scvhost.exe
X:\_temp.bat (X為病毒主程序所在盤符)

3、手動刪除以下注冊表值：

鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值: 360Soft
數據: %SystemRoot%\system32\scvhost.exe
鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\[所有劫持]

變量聲明：

　%SystemDriver%　　　　　　　系統所在分區，通常為“C:\”
　%SystemRoot%　　　　　　　　WINDODWS所在目錄，通常為“C:\Windows”
　%Documents and Settings%　　用戶文檔目錄，通常為“C:\Documents and Settings”
　%Temp%　　　　　　　　　　　臨時文件夾，通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
　%ProgramFiles%　　　　　　　系統程序默認安裝目錄，通常為：“C:\ProgramFiles”
病毒分析

（1）創建互斥體，防止多次運行。
（2）檢查自身是否為Explorer.exe，如果是,則復制%SystemRoot%\system32\drivers\gm.dls到%SystemRoot%\temp\explorer.exe，并執行%SystemRoot%\temp\explorer.exe。
（3）查找殺軟ekrn相關服務，如果找到則刪除服務，并終止其進程。
（4）釋放動態鏈接庫%SystemRoot%\system32\0.dll,創建進程，調用%SystemRoot%\system32\rundll32.exe加載0.dll
（5）提升當前進程權限，獲得進程快照，查找進程RsTray.exe、360tray.exe，若找到,將其進程退出;若找到進程CCenter.exe、
KAVStart.exe、avp.exe,去掉%SystemRoot%\system32\drivers\AsyncMac.sys和%SystemRoot%\system32\drivers\aec.sys的文件
保護屬性，釋放驅動文件%SystemRoot%\system32\drivers\AsyncMac.sys和%SystemRoot%\system32\drivers\aec.sys，通過加載
aec.sys恢復SSDT，加載AsyncMac.sys刪除殺毒軟件相關服務并退出其進程,并對大多數發病毒軟件作映像劫持，使其無法正常運
行。通過操作注冊表，刪除所有系統自啟動項鍵值。之后，刪除文件AsyncMac.sys和aec.sys及服務。刪除
%SystemRoot%\system32\0.dll。
（6）釋放病毒文件%SystemRoot%\aa0.exe,并執行。
（7）創建互斥體，將%SystemRoot%\system32和%TEMP%目錄訪問權限提升為Everyone完全控制。終止系統自帶防火墻服務和系統安全中
心服務。
（8）提升當前進程權限，將%SystemRoot%\system32\wininet.dll復制到%TEMP%\ope2.tmp（文件名數字部分隨機生成）,并加載,獲得網絡相關函數的虛擬地址。
（9）創建線程，循環查找名為"#32770"的窗口，如果沒找到，自動將病毒程序添加到注冊表啟動項。
（10）創建線程,修改%SystemRoot%\system32\drivers\etc\hosts文件,并設置文件屬性為只讀。
（11）創建線程，從指定地址下載一個木馬程序到本地，設置為隱藏，并運行。
（12）創建線程，統計感染主機的操作系統版本、類型、Mac地址和時間，將這些信息發送到指定網址。
（13）解密資源,訪問解密后的目標網址，下載大量病毒到本地執行。
(14) 釋放驅動文件%SystemRoot%\system32\drivers\pcidump.sys,創建服務并加載,感染%SystemRoot%\system32\drivers\gm.dls和%SystemRoot%\explorer.exe文件，完成后，刪除pcidump.sys及服務。
（15）將病毒自身重命名復制到%SystemRoot%\system32\scvhost.exe,通過添加注冊表自啟動項執行該程序。
（16）檢查自身是否為rav32.exe和explorer.exe,如果不是，在病毒主程序同目錄下創建批處理_temp.bat，并執行，刪除自身和_temp.bat。
　　
病毒創建文件：

%SystemRoot%\system32\0.dll
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\aa0.exe
%TEMP%\ope1.tmp
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\temp\explorer.exe
%SystemRoot%\system32\scvhost.exe
X:\_temp.bat (X為病毒主程序所在盤符)

病毒修改文件：

%SystemRoot%\system32\drivers\gm.dls
%SystemRoot%\explorer.exe
%SystemRoot%\system32\drivers\etc\hosts

病毒刪除文件：

%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\0.dll
%SystemRoot%\system32\drivers\etc\hosts
X:\_temp.bat (X為病毒主程序所在盤符)

病毒創建注冊表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Soft

病毒刪除注冊表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[所有程序]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump

病毒訪問網絡：

http://asp.c***tj.net/v5/count.asp
http://58.***.***.104/360.jpg
http://atxt.k***.net/v5.txt
http://n1***1l1nx.3322.org/ww/aa1.exe
http://n1***1l1nx.3322.org/ww/aa2.exe
http://n1***1l1nx.3322.org/ww/aa3.exe
http://n1***1l1nx.3322.org/ww/aa4.exe
http://n1***1l1nx.3322.org/ww/aa5.exe
http://n1***1l1nx.3322.org/ww/aa6.exe
http://n1***1l1nx.3322.org/ww/aa7.exe
http://n1***1l1nx.3322.org/ww/aa8.exe
http://n1***1l1nx.3322.org/ww/aa9.exe
http://n1***1l1nx.3322.org/ww/aa10.exe
http://n1***1l1nx.3322.org/ww/aa11.exe
http://n1***1l1nx.3322.org/ww/aa12.exe
http://n1***1l1nx.3322.org/ww/aa13.exe
http://n1***1l1nx.3322.org/ww/aa14.exe
http://n1***1l1nx.3322.org/ww/aa15.exe
http://n1***1l1nx.3322.org/ww/aa16.exe
http://n1***1l1nx.3322.org/ww/aa17.exe
http://n1***1l1nx.3322.org/ww/aa18.exe
http://n1***1l1nx.3322.org/ww/aa19.exe
http://n1***1l1nx.3322.org/ww/aa20.exe
http://n1***1l1nx.3322.org/ww/aa21.exe
http://n1***1l1nx.3322.org/ww/aa22.exe
http://n1***1l1nx.3322.org/ww/aa23.exe
http://n1***1l1nx.3322.org/ww/aa24.exe
http://n1***1l1nx.3322.org/ww/aa25.exe
http://n1***1l1nx.3322.org/ww/aa26.exe
http://n1***1l1nx.3322.org/ww/aa27.exe
http://n1***1l1nx.3322.org/ww/aa28.exe
http://n1***1l1nx.3322.org/ww/aa29.exe
http://n1***1l1nx.3322.org/ww/aa30.exe
http://n1***1l1nx.3322.org/ww/aa31.exe
http://n1***1l1nx.3322.org/ww/aa32.exe
http://n1***1l1nx.3322.org/ww/aa33.exe
http://n1***1l1nx.3322.org/ww/aa34.exe
http://n1***1l1nx.3322.org/ww/aa35.exe
http://n1***1l1nx.3322.org/ww/aa36.exe
http://n1***1l1nx.3322.org/ww/v5.exe

相關主題：

	·盜號木馬Trojan-PSW.Win32.OnLineGames.frab ·后門程序（“獸門”變種）Backdoor.Win32.Beastdoor.pa ·QQ盜號木馬竊賊手法升級竟假冒QQ窗口 ·我國科學家突破計算機反病毒技術微點主動防御計算機病毒技術世界 ·病毒兇猛 XP裸奔互聯網僅存活4分鐘！

免費體驗

		下　　載

		安裝演示

最熱點擊

一级特黄性生活大片免费观看-一级特黄性色生活片-一级特黄性色生活片一区二区-一级特黄视频-国产最新视频-国产最新精品