首页 | 最新病毒 | 反病毒学院 | qq病毒专杀 | arp病毒 | MSN病毒 | auto病毒专杀 | U盘病毒 | downloader病毒 | 木马查杀 | 计算机病毒 | 最新漏洞   
您的位置: 首页 >> U盘病毒 >> 阅读资讯:Trojan.DL.Win32.Autorun.ytn(servet.exe)分析

Trojan.DL.Win32.Autorun.ytn(servet.exe)分析

[ 作者:孤独更可靠 | 更新日期:2007-9-26 17:38:04 | 阅读次数: ]

Trojan.DL.Win32.Autorun.ytn(servet.exe)分析

文件名称:servet.exe
文件大小:21544 byte
AV命名:Trojan.DL.Win32.Autorun.ytn (RS)
加壳方式:NsPack 4.1
编写语言:Delphi
病毒类型:U盘病毒、下载者
文件MD5:e6307b7981c33355720d9fe117ddbcfb

行为分析:

1、释放病毒副本:

%Systemroot%\system32\servet.exe  21544 字节

2、遍历可用的磁盘,在其目录生成:Autorun.inf和Servet.exe。

并每隔一段时间检测是否有移动盘介入。

3、注册为系统服务,开机自启,服务名为Performance Logs and Ale,指向Servet.exe。

4、查找“IE执行保护”、“瑞星卡卡上网安全助手 - IE防漏墙允许”的窗口,并获得其类名,点“允许”或“允许执行”后选“确定”。绕过瑞星与卡卡助手的截杀。

5、每隔15秒访问系统drivers目录,查找klif.sys驱动,若有,则删除。

可能导致卡吧无法正常运行。

6、修改注册表“自动播放”键值,以保证U盘的自动运行性能。

7、反弹连接61.177.95.1**下载木马,包括梦幻、魔兽、QQ等的盗号木马。

解决方法:

1、http://gudugengkekao.ys168.com/下载:PowerRmv、SREng。

2、打开PowerRmv,选上“抑制对象再次生成”填入:

C:\AutoRun.inf
C:\servet.exe
D:\AutoRun.inf
D:\servet.exe
E:\AutoRun.inf
E:\servet.exe
F:\AutoRun.inf
F:\servet.exe
C:\Windows\system32\servet.exe
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
C:\Program Files\NetMeeting\ravytmon.cfg
C:\Program Files\NetMeeting\ravytmon.dat
C:\Program Files\NetMeeting\ravytmon.exe
C:\Program Files\NetMeeting\ravzxmon.cfg
C:\Program Files\NetMeeting\ravzxmon.dat
C:\Program Files\NetMeeting\ravzxmon.exe
C:\Windows\DiskMan32.exe
C:\Windows\NVDispDrv.exe
C:\Windows\system32\7.exe
C:\Windows\system32\8.exe
C:\Windows\system32\9.exe
C:\Windows\system32\avpms.cfg
C:\Windows\system32\avpms.dll
C:\Windows\system32\avpqqsg.cfg
C:\Windows\system32\avpqqsg.dll
C:\Windows\system32\DiskMan32.dll
C:\Windows\system32\msavp.dll
C:\Windows\system32\mscomm.dll
C:\Windows\system32\NVDispDrv.dll
C:\Windows\system32\TesSafe.sys
C:\Windows\system32\xyupri0.dll

3、打开SREng,删除:

注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    {DiskMan32}{C:\winnt\DiskMan32.exe}  []
    {NVDispDrv}{C:\winnt\NVDispDrv.exe}  []
    {ravytmon}{C:\Program Files\NetMeeting\ravytmon.exe}  []
    {ravzxmon}{C:\Program Files\NetMeeting\ravzxmon.exe}  []
{WinSysM}{C:\winnt\IGM.exe}  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

ShellExecuteHooks]
    {{E3F426F6-8634-42A5-A29E-BC694A88FB7D}}{C:\winnt\system32\xyupri0.dll}  []
    {{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}}{C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys}  []

服务

[Performance Logs and Ale / Windows][Stopped/Auto Start]
  {C:\winnt\system32\servet.exe}{N/A}

4、重启电脑,修改QQ、邮箱、网游等木马。

www.newjian.com


Tags:DL.Win32.Autorun.ytn servet.exe
来源:
上一篇:MSN.exe Packed.Win32.Klone.af U盘病毒  下一篇:Risk.exploit.ani JS.delf.sa ANI病毒分析
您的评论
用户名:新注册) 密码: 匿名评论 [所有评论]

·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为
热点资讯

精彩推荐

最新资讯

随机推荐