trojun.win3是什么病毒
发布网友
发布时间:2024-10-19 00:43
共1个回答
热心网友
时间:2024-10-27 13:36
AVG:Downloader.Generic7.AJZH
Kaspersky:Trojan.Win32.FraudPack.gen
NOD32v2:-
Rising:-
VT查杀率:8/36(22.23%)
VT扫描时间:2008.09.0507:33:26(CET)
EQSLab编号:080905047
EQSL地址:http://hi.baidu.com/eqsyssecurity
病毒大小:17.5KB(17,920字节)
MD5码:408C6D9B31189CEC11A909262A34D9E9
病毒类型:下载者
主要传播方式:网络
测试平台:WinXPSP3系统(默认Shell为BBlean)EQSecurity(HIPS)实机
危害程度:中
病毒行为:
运行后会调用svchost.exe
引用:
2008-09-0513:40:36运行应用程序
进程路径:F:\Once\oy\oyknus.exe
文件路径:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->进程保护->%windir%\System32\svchost.exe
利用被调用的svchost.exe实现穿墙联网下载病毒
引用:
2008-09-0513:40:45创建文件
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\DocumentsandSettings\Administrator\LocalSettings\TemporaryInternetFiles\Content.IE5
\PKMQ7CLM\mainti[1].exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
2008-09-0513:41:09创建文件
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\DocumentsandSettings\Administrator\LocalSettings\TemporaryInternetFiles\Content.IE5
\PKMQ7CLM\dkf[1].exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
2008-09-0513:41:06创建文件
进程路径:C:\WINDOWS\system32\svchost.exe
文件路径:C:\DocumentsandSettings\Administrator\LocalSettings\Temp\mainti.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
=============
单独运行下载的病毒
dkf.exe无法运行提示不是有效的win32应用程序
Temp\mainti.exe与TIF目录的mainti.exeHASH值一致
VT扫描结果如下
病毒名称:AntiVir:TR/Crypt.FKM.Gen
AVG:-
Kaspersky:not-a-virus:AdWare.Win32.BHO.crz
NOD32v2:Win32/Adware.PCProtectionCenter
Rising:-
VT查杀率:22/36(61.12%)
VT扫描时间:2008.09.0508:01:43(CET)
运行后会向system32目录创建DLL
引用:
2008-09-0513:49:08创建文件
进程路径:F:\Once\oy\mainti.exe
文件路径:C:\windows\system32\getsn32.dll
触发规则:所有程序规则->文件阻止及保护->?:\*.dll
调用regsvr32.exe注册DLL
引用:
2008-09-0513:49:16运行应用程序
进程路径:F:\Once\oy\mainti.exe
文件路径:C:\WINDOWS\system32\regsvr32.exe
命令行:-sC:\windows\system32\getsn32.dll
触发规则:所有程序规则->系统工具->%windir%\system32\regsvr32.exe
添加BHO
引用:
2008-09-0513:49:27创建注册表值
进程路径:F:\Once\oy\mainti.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects
注册表名称:[Default]
触发规则:所有程序规则->资源管理器相关->*\Software\Microsoft\Windows\Currentversion\Explorer\Browserhelper
objects*
向system32创建exe
引用:
2008-09-0513:49:27创建文件
进程路径:F:\Once\oy\mainti.exe
文件路径:C:\windows\system32\uoyzsydz.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
以命令行start调用
引用:
2008-09-0513:49:55运行应用程序
进程路径:F:\Once\oy\mainti.exe
文件路径:C:\WINDOWS\system32\uoyzsydz.exe
命令行:start
触发规则:所有程序规则->阻止运行->%windir%\*
修改自身
引用:
2008-09-0513:49:55修改文件
进程路径:C:\WINDOWS\system32\uoyzsydz.exe
文件路径:C:\windows\system32\uoyzsydz.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe
命令行调用IE
引用:
2008-09-0513:50:05运行应用程序
进程路径:F:\Once\oy\mainti.exe
文件路径:C:\ProgramFiles\InternetExplorer\IEXPLORE.EXE
命令行:hXXp://excellentloads.com/newuser.php?saff=444.471
触发规则:所有程序规则->进程保护->C:\ProgramFiles\InternetExplorer\IEXPLORE.exe
向system32创建BIN
引用:
2008-09-0513:50:05创建文件
进程路径:F:\Once\oy\mainti.exe
文件路径:C:\windows\system32\hljwugsf.bin
触发规则:所有程序规则->保护目录->C:\WINDOWS\*
注册病毒DLL
引用:
2008-09-0513:50:10运行应用程序
进程路径:C:\WINDOWS\system32\uoyzsydz.exe
文件路径:C:\WINDOWS\system32\regsvr32.exe
命令行:-sC:\windows\system32\getsn32.dll
触发规则:所有程序规则->系统工具->%windir%\system32\regsvr32.exe
修改userinit启动项
引用:
2008-09-0513:50:14修改注册表内容
进程路径:C:\WINDOWS\system32\uoyzsydz.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
注册表名称:Userinit
更改后:C:\WINDOWS\system32\userinit.exe,C:\windows\system32\uoyzsydz.exe,
更改前:C:\WINDOWS\system32\userinit.exe,
触发规则:所有程序规则->自动运行->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
禁用任务管理器
引用:
2008-09-0513:50:15创建注册表值
进程路径:C:\WINDOWS\system32\uoyzsydz.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表名称:DisableTaskMgr
触发规则:所有程序规则->系统设置->*\Software\Microsoft\Windows\Currentversion\Policies*
联网行为:
关键行为:
调用SVCHOST.EXE
向系统目录创建exedllbin
修改userinit启动项
禁用任务管理器
HIPS防范对策:
阻止陌生程序调用SVCHOST.EXE
阻止陌生程序向系统目录创建exedllbin
阻止陌生程序添加BHO
阻止陌生程序以命令行调用IE
阻止陌生程序以命令行调用regsvr32.exe注册病毒DLL
阻止陌生程序修改userinit启动项
阻止陌生程序禁用任务管理器
使用金山网盾,百度搜索金山网盾,打开点击一键修复,清理掉正在运行的病毒进程。然后点击"免费杀毒",安装金山毒霸2011后全盘彻底杀毒
注意,360会拦截金山网盾安装,如果你有360,请先打开360木马防火墙,点击进程防火墙的已开启按钮暂时关闭
(如发现网盾不能扫描,请在任务栏右键退出360的托盘)
