Win32.Troj.SecretAgent.cd.200704
2017-11-30 来源:
病毒别名: 毒燕子、葵花、Flash老灰狗,Orz病毒
威胁级别: ★★☆☆☆
病毒类型: 木马下载器
病毒长度: 54056
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个利用FLASH漏洞进行传播的病毒下载器。它进入电脑后会破坏多款国产杀毒软件和安全辅助软件的正常运行,然后下载盗号木马到系统中运行。运行完毕后就完全删除自己的全部文件,不留下一点痕迹。
1.关闭毒霸、瑞星等安全软件的进程、并将安全软件的主要程序程序替换
为无效的文件。
2.禁用系统安全中心、windows防火墙、系统还原。
3.结束360的进程、删除其进程文件。并修改360的设置,使360的保护
失效。
4.释放木马下载者病毒。
5.删除病毒运行过程中生成的所有文件(不含释放的木马下载者)。注:此
项可配置,若不设置,病毒会释放副本C:\Progra~1\Realtek\APPath\RTHDCPL.ex,
e,并为之创建启动项:HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\S
oundman。
1.将本进程文件移动到同盘的根目录,且重命名为x:\NTDUBECT.exe
2.根据查找是否有avp.exe进程、是否可以修改系统时间来检测当前系统中是否
有装有卡巴斯基,若有,程序返回。
3.禁用系统安全中心、windows防火墙、系统还原。
4.设置HKLM\software\360safe\safemon子键下的ExecAccess,SiteAccess,MonAcc
ess,VDiskAccess,ARPAccess,IEProtAccess为0.
检测当前系统中是否有360tray.exe、360safe.exe,若有,结束进程、删除进程
文件。
5.检测系统中是否有ravmond.exe、kwatch.exe、kasmain.exe。若有:
1)将进程资源RCDATA/"ANTIR"释放到%temp%\ANTIR.exe。
2)将进程资源RCDATA/"KNLPS"释放到%temp%\ANTIR.sys。
3)生成批处理脚本%temp%\tmp.bat,内容为:(以下%temp%代表C:\DOCUME
~1\xz\LOCALS~1\Temp\)
cd%temp%
%temp%\ANTIR.exe-f$安全进程软件的进程id
delC:\DOCUME~1\xz\LOCALS~1\Temp\ANTIR.exe;C:\DOCUME~1\xz\LO
CALS~1\Temp\ANTIR.sys;C:\DOCUME~1\xz\LOCALS~1\Temp\tmp.bat
进程可为rfwsrv.exe,rfwmain.exe,kwatch.exe,kissvc.exe,kpfwsvc.exe,safebo
xTray.exe,RavMonD.exe
4)调用WinExec("tmp.bat",SW_HIDE)执行脚本关闭安全软件的监控进程、删
除自身的文件。
5)等待脚本被成功删除。最多等待10s。
6)病毒利用自己的另一个文件antir.Exe和驱动文件antir.Sys,查询并替换毒霸和瑞星的文件。
7)(本样本无此行为)若系统中,RavMonD.exe、kwatch.exe进程已经不存在,
且GEN_RTHDCPL标志被设置,
若当前系统为NT(dwPlatformID,VER_PLATFORM_WIN32_NT),创建启
动项:
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\Soundman"C:\Pr
ogra~1\Realtek\APPath\RTHDCPL.exe"
6.再次检测是否存在avp.exe进程,若存在:
1)调用mixer*函数静音
2)将系统年份修改为2000年
3)打开声音
4)循环15次设置系统时间
5)再次禁用系统安全中心、windows防火墙、系统还原。
设置HKLM\software\360safe\safemon子键下的ExecAccess,SiteAccess,Mon
Access,VDiskAccess,ARPAccess,IEProtAccess为0.
检测当前系统中是否有360tray.exe、360safe.exe,若有,结束进程、删除
进程文件。
6)再次检测系统中是否有ravmond.exe、kwatch.exe、kasmain.exe。
7)将RCDATA\packageinfo保存为%temp%\setup.exe,并执行setup.exe。此文
件为一个木马下载者。
7.建立映像劫持,此项可由配置信息控制。
8.(本样本无此行为)恢复原来的时间,此项可由配置信息控制。
8.若生成了NTDUBECT.exe,调用命令行"cmd/cdel"删除之。
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。