帮助中心当前位置:星游娱乐 > 帮助中心 > >

星游娱乐官网:TrojanWin32AntiAVn文艺馆

  怪物联盟祥云马是 概述

  Trojan.Win32.AntiAV.n(“ 反病毒终结者下载器N”)

  影响系统:Win 9X/ME/NT/2000/XP/2003。

  该病毒还会修改系统的共享目录,将用户的信息泄露出去;运行后会将自身加载到Explorer进程中,并对注册表进行修改,防止病毒自身被删除。在用户的IE 收藏夹菜单中建立一个链接,通过欺骗用户点击来增加指定网站的点击率,当已经感染病毒的电脑连接到网络时,病毒会从 黑客指定的网站下载新的病毒,还会自动点击指定的链接。

  详细说明

  1、病毒运行后,会在system32目录下释放一个OCX文件,文件名随机。

  病毒生成文件名的方法:用GetLocalTime得到当前系统时间,以月份跟得到的秒数为文件名,扩展名为.OCX。

  我们在分析的时候得到的是12月7秒,文件名为:127.OCX。

  2、利用rundll32.exe来加载自己释放的文件。并把rundll32.exe %system32%127.ocx加入到启动项。

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

  Load=rundll32.exe %sysetm32%127.ocx

  3、等1.5秒后把自己删除。

  病毒自删除方法比较特别,先用DeleteFileA去检查病毒本身是否已被删除,然后用MoetFile把自己移动到 回收站,在用MoveFile把回收站中的病毒文件加入到重启后删除列表中。

  4、OCX文件加载成功后,病毒利用 全局钩子,在每一个进程中插入一个127.ocx。

  A:HOOK个每个进程中的API来隐藏自己

  HOOK的API有

  RegOpenKeyExA

  CreateFileA

  CreateFileW

  RegEnumValueA

  RegEnumValueW

  从HOOK的API可以看出,用户是无法在正常方式下,查看到病毒的文件,和在注册表中加入的内容。

  B:对AVP杀软的情况,病毒使用的手法:

  当检查到系统中是否AVP的进程时,把当前系统的时间修改为:现在的时间减去10年

  如:现在是2007 被病毒改后,就会是1997年,这样会使AVP失效。

  C:对于一些反 流氓软件的情况,病毒使用的手法:

  当有程序要运行时,病毒会检查当前运行的文件名含有以下列表中的文件时,会把当前运行文件的进程结束,并且把文件移动到Windows的TEMP目录下改名__.%s.tmp。

  病毒会查找下面文件,当查找到文件后,会把文件移动到TEMP目录下改名为__%s.tmp.

  病毒查找的文件

  mmskskin.dll

  KKClean.dll

  VirUnk.def

  ntiActi.dll

  Rsaupd.exe

  Iereset.dll

  KASearch.DLL

  KAVBootC.sys

  Ras. exe

  iehelp.exe

  trojandetector.exe

  KAConfig.DLL

  KAVPassp.DLL

  hsfw.dll

  ollydbg.ini

  Libclsid.dat

  KNetWch.SYS

  CleanHis.dll

  WoptiClean.sys

  kakalib.def

  libdll.dat

  kkinst.ini

  wopticlean

  360safe

  D:对于其它杀软件的处理

  遍历文件时星游娱乐注册,同时获得文件的版本信息,当发现下列住处时,会把文件删除

  Kingsoft Antivirus

  Kingsoft Antispyware

  TrojanDetector

  Micropoint

  Kingsoft

  Duba

  E:修改文件的访问根权。

  病毒利用cacls.exe Filename /T /E /C /P everyone:N的方式,把 磁盘上文件设置为共享,让所有人可以使用文件。

  安全建议

  1 安装正版 杀毒软件、 个人防火墙和卡卡上网安全助手,并及时升级, 瑞星杀毒软件每天至少升级三次。

  2 使用“ 瑞星系统安全 漏洞扫描”,打好 补丁,弥补 系统漏洞。

  3 不浏览不良网站,不随意下载安装可疑插件。

  4 不接收QQ、MSN、Email等传来的可疑文件。

  5 上网时打开 杀毒软件 实时监控功能。

  6 把网银、网游、QQ等重要软件加入到“ 瑞星帐号保险柜”中,可以有效保护密码安全。

  上一篇:郭曹“互撕内幕”暗藏玄机围观群众险被带进沟

  清除办法:

  瑞星杀毒软件清除办法:

  安装 瑞星杀毒软件,升级到20.20.30版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀

  上一篇:郭曹“互撕内幕”暗藏玄机围观群众险被带进沟

(责任编辑:admin)

上一篇:山东电信宽带提速成“瘸腿”上下行速率差距悬

下一篇:为什么苹果应该开放IOS系统原因在这里

推荐内容