一级特黄性生活大片免费观看-一级特黄性色生活片-一级特黄性色生活片一区二区-一级特黄视频-国产最新视频-国产最新精品

   
首 頁  |  微點新聞  |  業界動態  |  安全資訊  |  安全快報  |  產品信息  |  網絡版首頁
通行證  |  客服中心  |  微點社區  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

木馬下載者Trojan-Downloader.Win32.Geral.djt
來源:  2012-12-01 09:52:29

木馬下載者

Trojan-Downloader.Win32.Geral.djt

捕獲時間

2012-12-01

危害等級



病毒癥狀

該樣本是使用“C/C ”編寫的“木馬下載者”,由微點主動防御軟件自動捕獲,采用“UPX”加殼,企圖避過殺軟掃描,加殼后長度為“35,328”字節,圖標為“
”,使用“exe”擴展名,通過移動存儲、網頁掛馬、下載器下載等方式進行傳播,病毒主要目的是惡意修改用戶系統并下載更多的病毒或木馬后門文件運行。

   用戶中毒后會出現電腦的運行速度變慢,殺軟無故退出而不能啟動,出現大量未知進程等現象。



感染對象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

傳播途徑

文件捆綁、網頁掛馬、下載器下載

防范措施

已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)


圖1 微點主動防御軟件自動捕獲未知病毒(未升級)










如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-Downloader.Win32.Geral.djt”,請直接選擇刪除(如圖2)。


圖2   微點主動防御軟件升級后截獲已知病毒








未安裝微點主動防御軟件的手動解決辦法:

1.手動停止并刪除服務"auyi"

2.手動刪除文件

"%ProgramFiles%\Common Files\rkdltecq\qioihz.pif"
"%SystemRoot%\system32\1.DEP(文件名隨機)"
"%SystemRoot%\system\NeRz"
"%SystemRoot%\temp\oqw.ini"
多個"%SystemDriver%\Documents and Settings\All Users\Documents\eoi3.tmp(文件名隨機)"
"移動磁盤根目錄偽裝為文件夾的exe文件"

3.修改注冊表

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck"
"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(默認)"


變量聲明:

  %SystemDriver%       系統所在分區,通常為“C:\”
  %SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
  %Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
  %Temp%           臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
  %ProgramFiles%       系統程序默認安裝目錄,通常為:“C:\ProgramFiles”

病毒分析:

1.創建名字為"ZONGYAODOANG"的互斥對象,防止重復執行。
2.創建目錄"C:\Program Files\Common Files\rkdltecq",并將自身拷貝重命名為"C:\Program Files\Common Files\rkdltecq\qioihz.pif"。
3.獲取系統目錄,創建文件"C:\WINDOWS\system32\1.DEP(文件名隨機)",寫入病毒數據,并加載該文件到當前進程地址空間調用其導出函數"Whaier"、"Simenze"。
4.文件"C:\WINDOWS\system32\1.DEP(文件名隨機)"加載執行之后:
(1)設置鍵值項"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck" = "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"、"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(默認)" = "C:\WINDOWS\system32\1.DEP"。
(2)執行命令"cmd /c sc stop policyagent",停止IPSEC安全策略服務。
(3)判斷當前進程是否為"360realpro.exe"、"360quart.exe"、"qqpcmgr.exe",如果是則創建文件"C:\WINDOWS\system\NeRz",創建名字為"auyi"的服務,執行映像指向"C:\WINDOWS\system\NeRz",并啟動此服務,刪除文件"C:\WINDOWS\system\NeRz"。
(4)與設備對象"\\.\KONGQIX"通信,試圖結束以下進程:
"ekrn.EXE"、"360rp.EXE"、"360tray.EXE"、"egui.EXE"、"nod32krn.EXE"、"nod32kui.EXE"、 "safeboxtray.EXE"、"360safebox.EXE"、"krnl360svc.EXE"、"ZhuDongFangYu.EXE"、 "360setupscan.EXE"、"RSTray.EXE"、"360sd.EXE"、"360rps.EXE"、"360sdrun.EXE"、 "360speedld.EXE"、"360leakfixer.EXE"、"DumpUper.EXE"、"avgnt.EXE"、"avnotify.EXE"、 "avguard.EXE"、"guardgui.EXE"、"avwebgrd.EXE"、"sched.EXE"、"avfwsvc.EXE"、 "BacsTray.EXE"、"kasmain.EXE"、"kaccore.EXE"、"kastray.EXE"、"kudiskmon.EXE"、 "beikearpmain.EXE"、"beikearpsvc.EXE"、"beikescan.EXE"、"RsMgrSvc.EXE"、 "kav.EXE"、"360safe.exe"、"mcshield.EXE"、"RavMonD.EXE"、"kavstart.EXE"、 "kwatch.EXE"、"kswebshield.exe"、"kxedefend.EXE"、"kxesapp.EXE"、"kxeserv.EXE"、 "kxetray.EXE"、"krepair.EXE"、"kpopserver.exe"、"KVMonXP.EXE"、"KVSrvXP.EXE"、 "KSafe.EXE"、"KSafeTray.EXE"、"KSafeSvc.EXE"、"KANSvr.EXE"、"KANSGUI.EXE"、 "QQDoctorRtp.exe"、"QQPCRTP.EXE"、"QQPCTray.EXE"、"TSVulFWMan.EXE"、 "QQPCMgr.EXE"、"QQPCLeakScan.EXE"、"Twister.EXE"、"avp.EXE",之后停止并刪除該服務。
(5)如果當前進程為"explorer.exe",則獲取系統目錄,下載文件"http://da.sh**aihuabian.com:53/s.gif"保存為"C:\WINDOWS\temp\oqw.ini",讀取文件"C:\WINDOWS\temp\oqw.ini"中的病毒網址信息,依次下載為"C:\Documents and Settings\All Users\Documents\eoi3.tmp(文件名隨機)"并執行。
(6)遍歷所有可移動磁盤,并將其根目錄文件夾屬性設置為系統和隱藏,之后將"C:\Program Files\Common Files\rkdltecq\qioihz.pif"拷貝重命名為"移動磁盤盤符:\文件夾名.exe"。


病毒創建文件:

"%ProgramFiles%\Common Files\rkdltecq\qioihz.pif"
"%SystemRoot%\system32\1.DEP(文件名隨機)"
"%SystemRoot%\system\NeRz"
"%SystemRoot%\temp\oqw.ini"
多個"%SystemDriver%\Documents and Settings\All Users\Documents\eoi3.tmp(文件名隨機)"
"移動磁盤根目錄偽裝為文件夾的exe文件"

病毒修改注冊表:

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck"
"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(默認)"

病毒訪問網絡:

"http://da.sh**aihuabian.com:53/s.gif"

相關主題:
沒有相關主題

免費體驗
下  載
安裝演示

主站蜘蛛池模板: 加勒比一本大道香蕉在线视频| 国产系列 视频二区| 亚洲天堂视频一区| 国产高清精品在线| 久久国产视屏| 欧美一级欧美一级毛片| 尹人成人| 国产younv真实| 美女被爆免费视频软件| 午夜香港三级a三级三点 | 性感毛片| 97在线免费看视频| 国产亚洲精品yxsp| 欧美国产日本高清不卡| 亚欧人成精品免费观看| 91精品网站| 国产成人aaa在线视频免费观看| 九九国产在线观看| 玖玖在线国产精品| 欧美一区二区三区免费播放| 一级毛片真人免费观看| 成年人看的毛片| 国产亚洲网站| 久久亚洲一级α片| 欧美成人高清手机在线视频| 日韩乱淫| 亚色网址| 亚洲欧美日韩在线一区二区三区| 99精品欧美| 国产成人18黄网站免费网站| 国产欧美一区二区精品久久久| 久久精品系列| 免费一级特黄特色黄大任片| 日本成人午夜| 日韩精品免费一区二区三区 | 欧美另类性视频在线看| 天堂av2017男人的天堂| 亚洲欧美综合视频| 亚洲欧美自拍视频| 一级片在线免费看| 一级特一级特色生活片|