|
||||||||
 |
||||||||
 |
|
|
|||||||||||||||||||
|
||||||||||||||||||||
| 警惕木马下载者Trojan-GameThief.Win32.OnLineGames.skmj Trojan-GameThief.Win32.OnLineGames.skmj病毒下载者木马类,病毒运行之后调用API函数GetSystemDirectoryA获取系统目录,在%System32%目录下创建病毒文件adfbaa.exe(随机病毒名),调CreateProcessA创建病毒进程,遍历进程查找是否存在以下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程,调用LoadLibraryA函数加载SFC.DLL文件,释放批处理文件到%temp%临时目录下,将%System32%drivers目录下的beep.sys文件删除,并创建一个同名的文件,释放驱动文件恢复SSDT使卡巴主动防御失效,衍生的adfbaa.exe行为分析:释放驱动文件过pcxyqr.sys,摘掉钩子使卡巴主动防御完全失效,创建病毒服务,添加注册表映像劫持,遍历进程查找“drvanti.exe”驱动防火墙进程,如找到则调用API函数TerminateProcess强行结束该进程,连接网络读取TXT列表下载大量恶意文件,经分析下载的大量文件均为盗号木马,给用户清理代理及大的不便。 清除方案: 1. 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用ATOOL进程管理结束病毒进程。 (2) 强行删除病毒下载的大量病毒文件 (3) 删除病毒创建的注册表项 |
|
Copyright ◎ 2004 - 2008 红客中国安全网版权所有
|