|
一、病毒相关分析: |
| |
病毒标签:
病毒名称:Trojan-Downloader.Win32.Agent.blm
病毒类型:木马下载者
危害级别:3
感染平台:Windows
病毒大小:20,992(字节)
SHA1 :50dff77957d2a7b7797bf7f797feaa4c3807936d
加壳类型:无
开发工具:VC |
|
|
病毒行为:
1、程序运行后会下载文件:
http://2.jo*****.com/test.cer
并根据test.cer中的地址下载其他文件。
2、test.cer内容如下:
http://60.173.*****/a1.exe
http://60.173.*****/a2.exe
http://60.173.*****/a3.exe
http://60.173.*****/a4.exe
http://60.173.*****/a5.exe 链接失效
http://60.173.*****/a6.exe
http://60.173.*****/a7.exe
http://60.173.*****/a8.exe
http://60.173.*****/a9.exe
http://60.173.*****/a10.exe
http://60.173.*****/a11.exe
http://60.173.*****/a12.exe
http://60.173.*****/a13.exe
http://60.173.*****/a14.exe
http://60.173.*****/a15.exe
http://60.173.*****/a16.exe
http://60.173.*****/a17.exe
http://60.173.*****/a18.exe
http://60.173.*****/a19.exe
http://60.173.*****/a20.exe
http://60.173.*****/a21.exe
http://60.173.*****/a22.exe
3、下载的文件复制到该程序同目录下,并命名为3.tmp、4.tmp、5.tmp至F.tmp,然后运行下载的文件。
4、下载的文件中有一个会添加如下注册表项:
注册表键: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
注册表值: PendingFileRenameOperations
类型: REG_MULTI_SZ
值: \??\C:\WINDOWS\庆贺十七大祖国越来越好
5、下载的大部份为盗号木马和木马下载者
|
|
|
二、解决方案 |
|
|
| |
|
三、安全建议 |
|
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可写或可控制。
5、禁用不必要的服务。
6、及时更新常用软件,尤其是聊天工具。
7、不要随意下载不安全网站的文件并运行。
8、下载和新拷贝的文件要首先进行查毒。
9、不要轻易打开即时通讯工具中发来的链接或可执行文件。
10、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
|
| |
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区 |