|
||||||||
 |
||||||||
 |
|
|
|||||||||||||||||||
|
||||||||||||||||||||
| 警惕下载者木马Trojan-Downloader.Win32.Small.gkm Trojan-Downloader.Win32.Small.gkm病毒为下载者木马病毒,病毒运行后获取系统文件夹路径,释放驱动文件到%system32%drivers目录下,重命名为uuid.sys,等待加载驱动成功后将该驱动文件删除,加载urlmon.dll调用urldownloadtofileaAPI函数,并隐藏创建IExplorer.exe进程写入224字节数据连接网络下载文件,将下载后的文件保存到%Documents and Settings%当前所在用户Local SettingsTemp目录下,重命名为:update.exe,并自动运行该病毒文件,衍生病毒DLL文件到%Windir%目录下并重命名为:linkinfo.dll并将其注入到Explorer.exe进程中,创建BAT文件删除自身,生成驱动文件%SystemRoot%system32 drivers IsDrv118.sys (加载后删除),并调用ZwSetSystemInformation加载驱动,病毒通过检查是否是在VMWare下运行,如果是直接关闭虚拟机,以此来防止自己在虚拟机中被运行,从"%Windir%"目录开始感染所有磁盘中后缀名为"exe"的文件,病毒在感染时,不感染"QQ"、"winnt"和"windows"目录下的程序文件,通过修改卡卡助手的驱动"%system32%driversRs Boot.sys"入口,使该驱动在加载时失败,枚举并尝试向局域网中计算机的隐藏共享文件夹"%s\IPC$"、"C$"等写入名称为"setup.exe"的病毒源文件,尝试连接时使用"Administrator"作为用户名。 清除方案: 1、 使用安天防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用ATOOL“进程管理”关闭病毒相关进程 1. 结束Explorer.exe进程 (2) 强行删除病毒文件 2. %Documents and Settings%当前所在用户Local SettingsTempupdate.exe 3. %system32%driversuuid.sys 4. %SystemRoot%system32driversIsDrv118.sys 5. %Windir%linkinfo.dll |
|
Copyright ◎ 2004 - 2008 红客中国安全网版权所有
|