javqhc ???

在某站抓了一包~~发现了这个,好厉害啊,会删安全工具
 
简单分析~~
 
文件名称:名称随机
文件大小:13149.dat
AV命名: Backdoor.Win32.Agent.ahj(Ikarus)
加壳方式:NsPack
文件MD5:ca2046a99c834aca83cef0efa848877f
 
主要行为:
 
1、释放文件:
%systemroot%\system32\释放3个随机文件名称的文件:
 
2个扩展名为dat,一个为dll,大小为243200 字节。
 
2、访问注册表键:SYSTEM\CurrentControlSet\Services\vmscsi
 
假设存在,即删除c:\ntldr(硬编码),并立刻执行命令行:shutdown -s -t 0 -f重启计算机
 
重启后虚拟机瘫痪。
 
3、添加启动项:
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
   Registry value: tyxzjal
      Type: REG_SZ
      Value: {18b39e76-903b-e580-a14c-903b16feedfb}
 
指向:C:\WINDOWS\system32\otsuevg.dll
 
4、启动rundll32.exe,进行链接库注入:rundll32.exe C:\WINDOWS\system32\130196.dat s
 
5、继续注入其他两个副本文件,应该是进程守护技术吧。
 
6、安装全局钩子,注入所有活动的进程。
 
7、查找计算机中是否安装快车、TM和QQ,如果有,则在其目录下生成病毒文件。
 
8、监控系统,如果尝试运行或加载这些文件会被删除(移动到临时文件夹)!!:
 
ollydbg.ini Libclsid.dat KNetWch.SYS mmskskin.dll Iereset.dll KASearch.DLL Rsaupd.exe libdll.dat CleanHis.dll WoptiClean.sys kakalib.def kkinst.ini KAVBootC.sys Ras.exe iehelp.exe trojandetector.exe KAConfig.DLL KAVPassp.DLL KKClean.dll VirUnk.def AntiActi.dll FileAnalyser.dll
 
(好乱啊,,,=.=)
 
9、还有这些关键字也会被结束删除(移动到临时文件夹):
 
wopticlean 360safe \360\ Duba Kingsoft uschuk WangSea GYN Smallfrogs MicropoInt ArSwp 360Safe Spyware ackTh wb .com duba   360 修复 uba
 
并添加至: PendingFileRenameOperations延迟删除。
 
10、破坏安全模式,删除:
 
System\CurrentControlSet\Control\SafeBoot\Minimal    System\CurrentControlSet\Control\SafeBoot\Network
 
11、连接网络:s2f3.v78a344.com h**p://www.ads520.com/等
 
下载木马,不过没实现!
 
12、每激活一个进程,病毒就会注入该进程,并执行上面的操作,会重写回注册表启动!
 
解决方法:
 
其实很简单,进入System目录,查看最近修改的文件,
 
看到有3个文件大小一样的就删了(名字比较怪的)
 
然后打开注册表,查找这3个病毒名字,删除那些键
 
 

你可能感兴趣的:(职场,休闲,javqhc)