一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Downloader.Win32.Small.hlw
病毒类型:木马
危害级别:3
感染平台:Windows
病毒大小:44,936(字节)
SHA1 :8fe3bc254f62bd38ac4379e66186e8378c4204b3
加壳类型:Upack
开发工具:Delphi
病毒行为:
1、程序运行后以NTDUBECT.EXE为文件名复制自身到各系统磁盘根目录并释放setup.exe(2,041 字节)到%temp%目录。
2、调用taskkill.exe结束进程nod32krn.exe、egui.exe、ekrn.exe,调用sc.exe设置服务ekrn、NOD32krn为禁用
调用net stop结束以下服务:
"Security Center"
"Windows Firewall/Internet Connection Sharing (ICS)"
"System Restore Service"
3、执行setup.exe后,下载文件
http://www.*****.net.cn/sss.exe。(Trojan-Downloader.Win32.Losabel.abn)
4、执行sss.exe后,映像劫持以下文件
//其中不仅会劫持大量安全工具,也会一些恶意程序进行劫持,防止其他恶意程序干扰其工作
shadowservice.exe、shadowtip.exe、avp.exe、360rpt.exe、360Safe.exe、adffgh785v.exe、
360tray.exe、 adam.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、avgrssvc.exe、
AvMonitor.exe、avp.exe、CCenter.exe、ccSvcHst.exe、FileDsty.exe、FTCleanerShell.exe、
HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、
KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPFW.exe、KAVSetup.exe、
KAVStart.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、KPFW32X.exe、
KPFWSvc.exe、KRegEx.exe、KsLoader.exe、KvDetect.exe、KvfwMcl.exe、kvol.exe、
kvolself.exe、KVSrvXP.exe、kvupload.exe、kvwsc.exe、KWatch.exe、KWatch9x.exe、
KWatchX.exe、loaddll.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、
NAVSetup.exe、nod32krn.exe、nod32kui.exe、PFW.exe、PFWLiveUpdate.exe、QHSET.exe、
Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe、 RavStub.exe、RavTask.exe、
RegClean.exe、rfwcfg.exe、RfwMain.exe、rfwProxy.exe、rfwsrv.exe、RsAgent.exe、
Rsaupd.exe、runiep.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、
SREng.exe、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、UIHost.exe、
UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、
UpLive.EXE、WoptiClean.exe、zxsweep.exe、sos.exe、auto.exe、UFO.exe、AutoRun.exe、
XP.exe、taskmgr.exe、guangd.exe、appdllman.exe、kernelwind32.exe、logogo.exe、
TNT.Exe、SDGames.exe、TxoMoU.Exe、cross.exe、regedit.Exe、regedit32.Exe、
Wsyscheck.exe、servet.exe、Discovery.exe、pagefile.exe、niu.exe、~.exe、AoYun.exe、
StopAorw.exe、StopAorw.exe、StopAorw.exe、ravmon.exe、avp.exe、ravmond.exe、
ravmon.exe、rav.exe、RavTask.exe、RavStub.exe、CCenter.exe、RavMonD.exe、
RavMon.exe、Rav.exe、360rpt.exe、360Safe.exe、360tray.exe、rfw.exe、ntoskrnl.exe、.EXE
修改系统隐藏属性,使隐藏文件不可见
5、连接下载文件http://www.*****.net.cn/ico.txt,并下载以下文件
http://www.*****.net.cn/cc1.exe
http://www.*****.net.cn/cc2.exe
http://www.*****.net.cn/cc3.exe
http://www.*****.net.cn/cc4.exe
http://www.*****.net.cn/cc5.exe
http://www.*****.net.cn/cc6.exe
http://www.*****.net.cn/cc7.exe
http://www.*****.net.cn/cc8.exe
http://www.*****.net.cn/cc9.exe
http://www.*****.net.cn/cc10.exe
http://www.*****.net.cn/cc11.exe
http://www.*****.net.cn/cc12.exe
http://www.*****.net.cn/cc13.exe
http://www.*****.net.cn/cc14.exe
http://www.*****.net.cn/cc15.exe
http://www.*****.net.cn/cc16.exe
http://www.*****.net.cn/cc17.exe
http://www.*****.net.cn/cc18.exe
http://www.*****.net.cn/cc19.exe
http://www.*****.net.cn/cc20.exe
http://www.*****.net.cn/cc21.exe
http://www.*****.net.cn/cc22.exe
http://www.*****.net.cn/cc23.exe
http://www.*****.net.cn/cc24.exe
http://www.*****.net.cn/cc25.exe
http://www.*****.net.cn/cc26.exe
http://www.*****.net.cn/cc27.exe
http://www.*****.net.cn/cc28.exe
http://www.*****.net.cn/cc29.exe
http://www.*****.net.cn/cc30.exe
http://www.*****.net.cn/cc31.exe
//以上程序为各种盗号程序,部份链接已经失效
二、解决方案 推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:
http://www.sucop.com/download/16.html 手工清除方法:
1、结束恶意程序进程。打开超级巡警,选择进程管理功能,终止进程kkk.exe,setup.exe,sss.exe。
2、删除以上提到的恶意程序生成的文件。
3、修复安全模式启动/映象劫持。打开超级巡警,点安全优化,选择系统修复,选中修复安全模式启动/映象劫持,修复即可。
4、升级到最新的超级巡警病毒库,清理下载的其他恶意程序。
您的位置: