木马Downloader.Win32.Small.ewy分析

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

病毒标签:

  病毒名称: Trojan-Downloader.Win32.Small.ewy

  中文名称: 露珠

  病毒类型: 木马

  文件 MD5: A120521DB73BBF1D0A8BDFB90E2D758B

  公开范围: 完全公开

  危害等级: 中等

  文件长度: 脱壳前14,689 字节,脱壳后71,680 字节

  感染系统: Win9X以上系统

  开发工具: Microsoft Visual C++ 6.0

  加壳工具: FSG 2.0 -> bart/xt

  病毒描述:

  该病毒运行后,添加注册表自动运行项与服务项,衍生病毒文件到系统目录下。病毒的主要行为为关闭对病毒不利的安全程序,并连接远程地址下载病毒体。

  行为分析:

  1 、衍生下列副本与文件:

      %System32%\progmon.exe
  %System32%\internt.exe
  %System32%\IME\svchost.exe


  2 、新建注册表键值:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Internt
  Value: String: "%WINDIR%System32\internt.exe"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Program file
  RunServices\msvcc25
  Value: String: "%WINDIR%System32\progmon.exe"
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter COM+\DisplayName
  Value: String: "Alerter COM+"
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter COM+\ImagePath
  Value: Type: REG_EXPAND_SZ Length: 36 (0x24) bytes
  %WINDIR%System32\IME\svchost.exe.


  3 、修改下列注册表项:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue


  New: DWORD: 0 (0)

  Old: DWORD: 1 (0x1)

  4 、连接远程地址:

  60.190.114.*** 80

  5 、匹配下列窗口标题,如有则关闭窗口:

      Windows 任务管理器
  安全卫士
  Virus
  病毒
  firewall
  Process
  anti
  木马
  优化
  查杀
  down
  卡巴
  超级巡警
  专杀
  扫描


  6 、病毒试图通过自身携带的用户名与弱口令列表通过网络传播。

  7 、病毒会在移动存储设备中生成自动运行文件,以传播自身。

  注: %System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。

  清除方案:

  1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

  2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。

  (1) 使用安天木马防线关闭下列进程:

  %System32%\IME\svchost.exe

  (2) 恢复注册表项为旧值并打开隐藏文件选项:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue


  New: DWORD: 0 (0)

  Old: DWORD: 1 (0x1)

  (3) 删除病毒释放文件:

      %System32%\progmon.exe
  %System32%\internt.exe
  %System32%\IME\svchost.exe

标签: isp 安全 网络 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:安全新趋势:利用网站传播木马已成热门

下一篇:木马伪装金山网镖 毒霸用户警惕上当