javqhc ？？？

在某站抓了一包~~发现了这个，好厉害啊，会删安全工具

 

简单分析~~

 

文件名称：名称随机

文件大小：13149.dat

AV命名： Backdoor.Win32.Agent.ahj（Ikarus）

加壳方式：NsPack

文件MD5：ca2046a99c834aca83cef0efa848877f

 

主要行为：

 

1、释放文件：

%systemroot%\system32\释放3个随机文件名称的文件：

 

2个扩展名为dat，一个为dll，大小为243200 字节。

 

2、访问注册表键：SYSTEM\CurrentControlSet\Services\vmscsi

 

假设存在，即删除c:\ntldr（硬编码），并立刻执行命令行：shutdown -s -t 0 -f重启计算机

 

重启后虚拟机瘫痪。

 

3、添加启动项：

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
   Registry value: tyxzjal
      Type: REG_SZ
      Value: {18b39e76-903b-e580-a14c-903b16feedfb}

 

指向：C:\WINDOWS\system32\otsuevg.dll

 

4、启动rundll32.exe，进行链接库注入：rundll32.exe C:\WINDOWS\system32\130196.dat s

 

5、继续注入其他两个副本文件，应该是进程守护技术吧。

 

6、安装全局钩子，注入所有活动的进程。

 

7、查找计算机中是否安装快车、TM和QQ，如果有，则在其目录下生成病毒文件。

 

8、监控系统，如果尝试运行或加载这些文件会被删除（移动到临时文件夹）！！：

 

ollydbg.ini Libclsid.dat KNetWch.SYS mmskskin.dll Iereset.dll KASearch.DLL Rsaupd.exe libdll.dat CleanHis.dll WoptiClean.sys kakalib.def kkinst.ini KAVBootC.sys Ras.exe iehelp.exe trojandetector.exe KAConfig.DLL KAVPassp.DLL KKClean.dll VirUnk.def AntiActi.dll FileAnalyser.dll

 

（好乱啊，，，=.=）

 

9、还有这些关键字也会被结束删除（移动到临时文件夹）：

 

wopticlean 360safe \360\ Duba Kingsoft uschuk WangSea GYN Smallfrogs MicropoInt ArSwp 360Safe Spyware ackTh wb .com duba   360 修复 uba

 

并添加至： PendingFileRenameOperations延迟删除。

 

10、破坏安全模式，删除：

 

System\CurrentControlSet\Control\SafeBoot\Minimal    System\CurrentControlSet\Control\SafeBoot\Network

 

11、连接网络：s2f3.v78a344.com h**p://www.ads520.com/等

 

下载木马，不过没实现！

 

12、每激活一个进程，病毒就会注入该进程，并执行上面的操作，会重写回注册表启动！

 

解决方法：

 

其实很简单，进入System目录，查看最近修改的文件，

 

看到有3个文件大小一样的就删了（名字比较怪的）

 

然后打开注册表，查找这3个病毒名字，删除那些键