查看文章 |
在某站抓了一包~~发现了这个,好厉害啊,会删安全工具 简单分析~~ 文件名称:名称随机 文件大小:13149.dat AV命名: Backdoor.Win32.Agent.ahj(Ikarus) 加壳方式:NsPack 文件MD5:ca2046a99c834aca83cef0efa848877f 主要行为: 1、释放文件: %systemroot%\system32\释放3个随机文件名称的文件: 2个扩展名为dat,一个为dll,大小为243200 字节。 2、访问注册表键:SYSTEM\CurrentControlSet\Services\vmscsi 假设存在,即删除c:\ntldr(硬编码),并立刻执行命令行:shutdown -s -t 0 -f重启计算机 重启后虚拟机瘫痪。 3、添加启动项: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 指向:C:\WINDOWS\system32\otsuevg.dll 4、启动rundll32.exe,进行链接库注入:rundll32.exe C:\WINDOWS\system32\130196.dat s 5、继续注入其他两个副本文件,应该是进程守护技术吧。 6、安装全局钩子,注入所有活动的进程。 7、查找计算机中是否安装快车、TM和QQ,如果有,则在其目录下生成病毒文件。 8、监控系统,如果尝试运行或加载这些文件会被删除(移动到临时文件夹)!!: ollydbg.ini Libclsid.dat KNetWch.SYS mmskskin.dll Iereset.dll KASearch.DLL Rsaupd.exe libdll.dat CleanHis.dll WoptiClean.sys kakalib.def kkinst.ini KAVBootC.sys Ras.exe iehelp.exe trojandetector.exe KAConfig.DLL KAVPassp.DLL KKClean.dll VirUnk.def AntiActi.dll FileAnalyser.dll (好乱啊,,,=.=) 9、还有这些关键字也会被结束删除(移动到临时文件夹): wopticlean 360safe \360\ Duba Kingsoft uschuk WangSea GYN Smallfrogs MicropoInt ArSwp 360Safe Spyware ackTh wb .com duba 360 修复 uba 并添加至: PendingFileRenameOperations延迟删除。 10、破坏安全模式,删除: System\CurrentControlSet\Control\SafeBoot\Minimal System\CurrentControlSet\Control\SafeBoot\Network 11、连接网络:s2f3.v78a344.com h**p://www.ads520.com/等 下载木马,不过没实现! 12、每激活一个进程,病毒就会注入该进程,并执行上面的操作,会重写回注册表启动!
解决方法: 其实很简单,进入System目录,查看最近修改的文件, 看到有3个文件大小一样的就删了(名字比较怪的) 然后打开注册表,查找这3个病毒名字,删除那些键
 |
