Trojan.DL.Win32.Agent.xej(niu.exe)

样本来至江民社区``
 
嗯,29日的卡吧、AVG偌顿等都没有报,过了N多``
 
文件名称:niu.exe
文件大小:9728 bytes
AV命名:Trojan.DL.Win32.Agent.xej(瑞星)
依赖平台:Windows(9X以上系统)
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24
编写语言:Borland Delphi 2.0
病毒类型:Downloader
文件MD5:b576009859b958e45c645f138b77dfc5
文件SHA1:da39a3ee5e6b4b0d3255bfef95601890afd80709
传播方式:网页漏洞、网络、U盘等移动介质。
 
行为:
 
1、释放病毒文件:
 
C:\Windows\system32\niu.exe 18944 字节
C:\Windows\system32\Autorun.inf 159 字节
 
2、遍历磁盘,尝试在C-Z盘下生成Autorun.inf和niu.exe。
 
Autorun.inf内容:
 
[AutoRun]
open=niu.exe
shell\open=打开(&O)
shell\open\Command=niu.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=niu.exe
 
3、连接203.171.233.2**(河南省郑州市 景安计算机网络技术有限公司)下载15个木马:
 
(中途死了一只,汗``)
 
C:\WINNT\system32\1.exe
C:\WINNT\system32\1.DAT
C:\WINNT\system32\2.exe
C:\WINNT\system32\xyfini.dll
C:\WINNT\system32\xyfpri.dll
C:\WINNT\system32\4.exe
C:\WINNT\system32\4.DAT
C:\WINNT\system32\6.exe
C:\WINNT\system32\tlmini.dll
C:\WINNT\system32\tlmpri.dll
C:\WINNT\system32\7.exe
C:\WINNT\system32\7.DAT
C:\WINNT\system32\8.exe
C:\WINNT\system32\8.DAT
C:\WINNT\system32\11.exe
C:\WINNT\system32\ztkini.dll
C:\WINNT\system32\ztkpri.dll
C:\WINNT\system32\13.exe
C:\WINNT\system32\zxeini.dll
C:\WINNT\system32\zxepri.dll
C:\WINNT\system32\TIMHost.dll
C:\WINNT\TIMHost.exe
 
包括魔域、梦幻、完美世界、华夏等``(还有几个不认得是什么游戏的``=。=)
 
4、下载的木马群比较恶劣,使用Hook技术(WH_CBT)挂钩Explorer,检测下面窗口并尝试点击:
 
瑞星注册表监控提示-- 同意修改 确定
 
瑞星卡卡上网安全助手 - IE防漏墙允许执行   IE 执行保护确定 允许执行 确定
 
允许 创建规则 跳过(&S) (卡吧的检测窗口)
 
解决方法:
 
[url]http://free.ys168.com/?gudugengkekao[/url]
 
下载冰刃和SREng:
 
图片点击可在新窗口打开查看 冰刃.rar 2,110KB
 
图片点击可在新窗口打开查看 sreng2.5.zip 780KB
 
直接放桌面,断开网络,关闭不需要的进程``:
 
1、打开冰刃,设置禁止进线程创建,确定。
 
2、冰刃“文件”功能,删除:
 
C:\Windows\system32\niu.exe
C:\Windows\system32\Autorun.inf
C:\WINNT\system32\1.exe
C:\WINNT\system32\1.DAT
C:\WINNT\system32\2.exe
C:\WINNT\system32\xyfini.dll
C:\WINNT\system32\xyfpri.dll
C:\WINNT\system32\4.exe
C:\WINNT\system32\4.DAT
C:\WINNT\system32\6.exe
C:\WINNT\system32\tlmini.dll
C:\WINNT\system32\tlmpri.dll
C:\WINNT\system32\7.exe
C:\WINNT\system32\7.DAT
C:\WINNT\system32\8.exe
C:\WINNT\system32\8.DAT
C:\WINNT\system32\11.exe
C:\WINNT\system32\ztkini.dll
C:\WINNT\system32\ztkpri.dll
C:\WINNT\system32\13.exe
C:\WINNT\system32\zxeini.dll
C:\WINNT\system32\zxepri.dll
C:\WINNT\system32\TIMHost.dll
C:\WINNT\TIMHost.exe
 
每个分区下的Autorun.inf和niu.exe
(注意不要漏了,不然又要重来``)
 
3、设置冰刃,重启并监视。
 
4、重启后不要连接运行进程等,直接打开SREng,删除:
 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
 
     <TIMHost><C:\winnt\TIMHost.exe>   []
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
 
     <{713AF41A-21B1-131B-1BFC-D2A90DF4A2B7}><C:\winnt\system32\xyfpri.dll>   []
     <{212BC423-3713-224D-3F55-32B35C62B112}><C:\winnt\system32\tlmpri.dll>   []
     <{B1351752-5628-1547-FFAB-BADC13512AFB}><C:\winnt\system32\ztkpri.dll>   []
     <{5A65498A-7653-9801-1647-987114AB7F45}><C:\winnt\system32\zxepri.dll>   []
 
5、升级杀软最高版本,全盘扫``然后注意打齐补丁。。
 

你可能感兴趣的:(职场,休闲,niu.exe,木马群)