|
关注恶意软件:
- 恶意软件名称:注入者木马(Trojan.Win32.Inject.agrz)
- 恶意软件类型:木马
- 长度:53760字节
- 加壳方式:双层UPX
- 影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista
具体表现:
“注入者木马”木马一般通过网页挂马或者下载器下载等途径感染用户计算机。一旦感染,它会在用户计算机释放以下文件:
%systemroot%\klls.exe 16KB
%systemroot%\Cursors\beifen.exe 54KB
%systemroot%\Cursors\sever.exe 37KB
%systemroot%\system32\dll.0 5KB
%systemroot%\system32\wbem\fonts.exe 54KB
并且创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group
Policy\State\Machine\Scripts\Shutdown\0\0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
StormCodec_Helper
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft Vista
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\360safe.exe debugger "SvchoSt.exe"等
木马运行后首先从自身中释放 %systemroot%\klls.exe 并运行,klls.exe会从自身中释放驱动 %systemroot%\system32\dll.0,并安装加载,用于关闭安全软件进程。将自身拷贝至%systemroot%\Cursors \beifen.exe和%systemroot%\system32\wbem\fonts.exe。
映像劫持以下安全软件程序:
360safe.exe
360safebox.exe
ast.exe
avp.exe
CCenter.exe
egui.exe
ekrn.exe
guard.exe
kasmain.exe
kpfw32.exe
kpfwsvc.exe
kvmonxp.exe
kvprescan.exe
kvsrvxp.exe
kwatch.exe
McShield.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
rfwProxy.exe
rfwsrv.exe
rfwstub.exe
wmain.exe
创建注册表服务项 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft Vista 服务描述:"系统登陆初始界面,终止该服务将导致系统不能正常登陆" 文件路径:%systemroot% \system32\sever.exe
创建注册表run项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run StormCodec_Helper
创建注册表关机脚本项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Shutdown\0\0
以上文件路径都为%systemroot%\system32\[样本文件名].exe
之后会从59.34.198.***、218.95.37.***等处下载大量恶意程序并运行。
卡巴斯基已经可以查杀“注入者木马”,建议您尽快安装卡巴斯基反病毒软件并将病毒库升级到最新,以免感染给您造成不必要的损失。
专家预防建议:
- 1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
- 2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
- 3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
- 4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
- 5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
- 6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
- 7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
|
