鸿 网 互 联 www.68idc.cn

警惕覆盖文件类的病毒(Trojan.Win32.Agent.cli )推荐

来源:互联网 作者:佚名 时间:2018-02-10 16:37
该病毒为VC编写,未加壳,目前大部分杀软都无法检测。运行后,会覆盖除C盘外的所有EXE和COM格式文件。并于后台开启网络线程刷某网站流量,关闭一些特定的字体,导致浏览器无法正常使用。 行为分析:1、运行病毒体,释放其他副本:C:\Program Files\Internet
    该病毒为VC编写,未加壳,目前大部分杀软都无法检测。运行后,会覆盖除C盘外的所有EXE和COM格式文件。并于后台开启网络线程刷某网站流量,关闭一些特定的字体,导致浏览器无法正常使用。
  行为分析:   1、运行病毒体,释放其他副本:   C:\Program Files\Internet Explorer\SVCH0ST.EXE 49152 字节
C:\Program Files\Internet Explorer\winoperl.sys 3039 字节
C:\Program Files\Windows Media Player\smigrate.exe 20480 字节
C:\WINNT\system32\WinRSLD.dll 28672 字节   2、读取磁盘文件,查找D-H盘的".exe"、".com"文件并覆盖!!如文件大于2011571600则删除,不覆盖。   遇到".gho"也删除。   覆盖后的感染标记应该是"XXC",避免反复感染   这导致系统所有的可执行程序都成病毒体。。恢复可能性为0   3、反注册一些Dll文件,使系统一些功能失效:   /u /s shimgvw.dll /u /s itss.dll /u /s scrrun.dll /u /s vbscript.dll   4、注册病毒文件: /s WinRSLD.dll,刷流量用的。。   5、SVCH0ST.EXE驻进程,于后台不停刷新某网页流量。   5、查找C-H盘,根据系统目录查找系统的一些提示音,并删除:   X:\WINDOWS\Media\Windows XP 开始.wav
X:\WINDOWS\Media\Windows XP 信息栏.wav
X:\WINDOWS\Media\Windows XP 弹出窗口已阻止.wav   6、smigrate.exe注册为系统服务,开机自启:   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecondarySENS]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,\
20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,\
00,73,00,20,00,4d,00,65,00,64,00,69,00,61,00,20,00,50,00,6c,00,61,00,79,00,\
65,00,72,00,5c,00,73,00,6d,00,69,00,67,00,72,00,61,00,74,00,65,00,2e,00,65,\
00,78,00,65,00,00,00
"DisplayName"="SecondarySENS"
"ObjectName"="LocalSystem"
"Description"="系统事件通知服务(SENS),此服务为订阅组件对象模型(COM)组件事件提供自动分布功能。如 果禁用此服务,显式依赖此服务的其他服务将无法启动"   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecondarySENS\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,00,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\
00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\
00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecondarySENS\Enum]
"0"="Root\\LEGACY_SECONDARYSENS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001   7、修改注册表,禁用一些IE功能:   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Display Inline Videos
Display Inline Videos
REG_SZ, "yes " == REG_SZ, "no "
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Enable AutoImageResize
Enable AutoImageResize
REG_SZ, "yes " == REG_SZ, "no "
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Play_Animations
Play_Animations
REG_SZ, "yes " == REG_SZ, "no "   这包括禁止IE自动播发在线视频、动画和自动适应屏幕大小,   还有其他的,如禁止脚本调试、禁用ActiveX 控件等等,不发了   哈哈``别指望病毒帮你系统优化,其实是在后台刷流量怕太卡了,请允许我鄙视一下。   8、如果发现以下窗口,则发送关闭命令:   内存
rror
安全
.wmf
错误
服务器正在
主页
cript
收藏 哈,看来是针对IE的,刷网页流量的铺脚石   8、关闭出现在窗口的属性页,可能是防止病毒属性被修改吧:   .exe
:\
.com
.bat   9、其中释放出来的驱动:winoperl.sys,检测系统进程状况。   如果运行了被感染的文件,在满足一定条件下(进程有多个病毒体被执行),那么这次请求会失败。   然后会释放个P处理,删除这个文件。   可能是病毒怕拖跨了系统,哈哈``   最大限制方法:   下载PowerRmv和SREng:   [url]www.kingzoo.com/tools/[/url]孤独更可靠/PowerRmv.com   [url]www.kingzoo.com/tools/[/url]孤独更可靠/sreng2.5.zip  
网友评论
<