文件名称:名称随机
文件大小:13149.dat
AV命名: Backdoor.Win32.Agent.ahj(Ikarus)
加壳方式:NsPack
文件MD5:ca2046a99c834aca83cef0efa848877f
主要行为:
1、释放文件:
%systemroot%\system32\释放3个随机文件名称的文件:
2个扩展名为dat,一个为dll,大小为243200 字节。
2、访问注册表键:SYSTEM\CurrentControlSet\Services\vmscsi
假设存在,即删除c:\ntldr(硬编码),并立刻执行命令行:shutdown -s -t 0 -f重启计算机
重启后虚拟机瘫痪。
3、添加启动项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Registry value: tyxzjal
Type: REG_SZ
Value: {18b39e76-903b-e580-a14c-903b16feedfb}
指向:C:\WINDOWS\system32\otsuevg.dll
4、启动rundll32.exe,进行链接库注入:rundll32.exe C:\WINDOWS\system32\130196.dat s
5、继续注入其他两个副本文件,应该是进程守护技术吧。
6、安装全局钩子,注入所有活动的进程。
7、查找计算机中是否安装快车、TM和QQ,如果有,则在其目录下生成病毒文件。
8、监控系统,如果尝试运行或加载这些文件会被删除(移动到临时文件夹)!!:
ollydbg.ini Libclsid.dat KNetWch.SYS mmskskin.dll Iereset.dll KASearch.DLL Rsaupd.exe libdll.dat CleanHis.dll WoptiClean.sys kakalib.def kkinst.ini KAVBootC.sys Ras.exe iehelp.exe trojandetector.exe KAConfig.DLL KAVPassp.DLL KKClean.dll VirUnk.def AntiActi.dll FileAnalyser.dll
(好乱啊,,,=.=)
9、还有这些关键字也会被结束删除(移动到临时文件夹):
wopticlean 360safe \360\ Duba Kingsoft uschuk WangSea GYN Smallfrogs MicropoInt ArSwp 360Safe Spyware ackTh wb .com duba 360 修复 uba
并添加至: PendingFileRenameOperations延迟删除。
10、破坏安全模式,删除:
System\CurrentControlSet\Control\SafeBoot\Minimal System\CurrentControlSet\Control\SafeBoot\Network
11、连接网络:s2f3.v78a344.com h**p://www.ads520.com/等
下载木马,不过没实现!
12、每激活一个进程,病毒就会注入该进程,并执行上面的操作,会重写回注册表启动!
解决方法:
其实很简单,进入System目录,查看最近修改的文件,
看到有3个文件大小一样的就删了(名字比较怪的)
然后打开注册表,查找这3个病毒名字,删除那些键
您的位置: