天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

木马下载器阻止用户进入安全模式

2008-3-6塞迪网佚名

Win32.TrojDownloader.Agent.bl.139378病毒为一个木马下载器。病毒运行后复制自身到系统目录,修改注册表、添加启动项,以达到随机启动的目的。它会破坏杀毒软件和安全辅助工具的正常运行,还会使中毒用户无法进入安全模式下查杀病毒。病毒发作后期,它会下载其它木马,盗取用户电脑上的敏感资料。

病毒名称(中文):劫持者下载器139378

威胁级别:★★☆☆☆

病毒类型:木马下载器

病毒长度:139378

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

该病毒为一个木马下载器。病毒运行后复制自身到系统目录,修改注册表、添加启动项,以达到随机启动的目的。它会破坏杀毒软件和安全辅助工具的正常运行,还会使中毒用户无法进入安全模式下查杀病毒。病毒发作后期,它会下载其它木马,盗取用户电脑上的敏感资料。

1.生成文件

c:\Program Files\meex.exe
c:\Program Files\Common File\System\.exe
c:\Program Files\Common Files\Microsoft Shared\.exe

2.修改注册表,添加启动项,以达到随机启动的目的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Default = "C:\Program Files\Common Files\System\.exe"

3.删除注册表安全模式的有关信息,当开机时不能启动安全模式

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
Defualt = "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
Defualt = "DiskDrive"

4.改变注册表值使隐藏文件不可见,达到病毒体隐藏目的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL
CheckedValue = dword:00000000

5.禁用此计算机上的帮助与支持中心服务:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc
Start = dword:00000004

6.禁用网络地址转换、寻址、名称解析、和入侵保护服务:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = dword:00000004

7.禁用监视系统安全设置和配置服务:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
Start = dword:00000004

8.禁用下载和安装Windows更新服务:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
Start = dword:00000004

9.映像劫持

通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统管理软件运行,并执行

病毒体。

被劫持的软件包括:

360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
KVStub.kxp;
kvupload.exe;
kvwsc.exe;
KvXP.kxp;
KvXP_1.kxp;
KWatch.exe;
KWatch9x.exe;
KWatchX.exe;
loaddll.exe;
MagicSet.exe;
mcconsol.exe;
mmqczj.exe;
mmsk.exe;
NAVSetup.exe;
nod32krn.exe;
nod32kui.exe;
PFW.exe;
PFWLiveUpdate.exe;
QHSET.exe;
Ras.exe;
Rav.exe;
RavMon.exe;
RavMonD.exe;
RavStub.exe;
RavTask.exe;
RegClean.exe;
rfwcfg.exe;
RfwMain.exe;
rfwProxy.exe;
rfwsrv.exe;
RsAgent.exe;
Rsaupd.exe;
runiep.exe;
safelive.exe;
scan32.exe;
shcfg32.exe;
SmartUp.exe;
SREng.exe;
symlcsvc.exe;
SysSafe.exe;
TrojanDetector.exe;
Trojanwall.exe;
TrojDie.kxp;
UIHost.exe;
UmxAgent.exe;
UmxAttachment.exe;
UmxCfg.exe;
UmxFwHlp.exe;
UmxPol.exe;
UpLive.EXE.exe;
WoptiClean.exe;
zxsweep.exe;

10.该病毒在各个驱动器下创建.exe前,首先判断驱动器的根目录下是否存在.exe文件或文件夹,如果存在则先尝试删除,然后创建autorun.inf文件和对应可执行病毒文件。

11.从以下网址下载其他病毒文件至客户机器。

hxxp://www.*****.com/Rettwn.txt
hxxp://www.wt*****.com/TDown1.exe

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:塞迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行