| 词条 | Trojan.PSW.Win32.OnLineGames.alsf |
| 释义 | 该病毒下载者木马类,病毒运行后调用API获取系统文件夹路径,衍生病毒文件到系统目录%system32%下;重命名为update.exe(随机病毒名);并加载创建该病毒进程,遍历进程查找是否存在一下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程,病毒运行后自我删除,创建注册表病毒服务,映像劫持多款安全软件及调试工具,使系统安全性大大降低,连接网络读取列表下载大量恶意文件到本地运行,经分析下载的文件多为盗号木马,给用户清理带来极大的不便。 病毒标签病毒名称: Trojan-PSW.Win32.OnLineGames.alsf 病毒类型: 盗号木马 文件 MD5: 2087197E0474B9BC5365B76F88E4EE86 公开范围: 完全公开 危害等级: 4 文件长度: 24,420 字节 感染系统: Windows98以上版本 开发工具: Microsoft Visual C++ 6.0 加壳类型: WinUpack 0.39 final -> By Dwing 行为分析本地行为1、文件运行后会释放以下文件: %Windir%\\update.exe 17,353 字节 2、创建注册表病毒服务: [HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001 \\Enum\\Root\\LEGACY_VSPQNK\\0000\\Service] 注册表值: "vspqnk" 类型: REG_SZ 值:"Vspqnk" 描述: 服务描述 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\Vspqnk\\Description] 注册表值: "DisplayName" 类型: REG_SZ 值:"Vspqnk" 描述: 服务描述 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\Vspqnk\\DisplayName] 注册表值: "DisplayName" 类型: REG_SZ 值:" Vspqnk" 描述: 服务名称 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\Vspqnk\\ErrorControl] 注册表值: "ErrorControl" 类型: REG_SZ 值:"DWORD: 1 (0x1)" 描述: 服务控制 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\Vspqnk\\ImagePath] 注册表值: "ImagePath" 类型: REG_SZ 值:"\\??\\C:\\WINDOWS\\system32\\vspqnk" 描述: 服务映像文件的启动路径 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\Vspqnk\\Start] 注册表值: "Start" 类型: REG_SZ 值:"DWORD: 3 (0x3)" 描述: 服务的启动方式,手动 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\Vspqnk\\Type] 注册表值: "Type" 类型: REG_SZ 值:"DWORD: 3 (0x3)" 描述: 服务类型 3、映像劫持多款安全软件: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion \\Image File Execution Options\\被映像劫持的文件名称] 新建键值: "Debugger" 类型: REG_SZ 字符串: “ntsd -d” 劫持文件名列表: 360rpt.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、FTCleanerShell.exe、HijackThis.exe、IceSword.exe、idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、kpfwsvc.exe、、KPPMain.exe、KRegEx.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、KVwsc.exe、kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、nod32krn.exe、、NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、qqsc.exe、Ras.exe、rav.exe、rav.exe、RAVmon.exe、RAVmonD.exe、ravstub.exe、ravtask.exe、ravtimer.exe、ravtool.exe、RegClean.exe、regtool.exe、rfwmain.exe、FYFireWall.exe、、rfwproxy.exe、FYFireWall.exe、rfwsrv.exe、rfwstub.exe、rising.exe、Rsaupd.exe、runiep.exe、safebank.exe、safeboxtray.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、、TrojDie.kxp、UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、webscanx.exe、WinDbg.exe、WoptiClean.exe、OllyDBG.EXE、OllyICE.EXE 4、遍历进程查找是否存在一下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程。 网络行为协议:TCP 端口:80 连接服务器名:http://txt.sonu****.info/tt/1.txt IP地址:121.10.104.** 描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容: [DOWN] 1=http://xxx.dfasd****.cn/cao/aa1.exe 2=http://xxx.dfasd****.cn/cao/aa2.exe 3=http://xxx.dfasd****.cn/cao/aa3.exe 4=http://5.gexi****.info/cao/aa4.exe 5=http://5.gexi****.info/cao/aa5.exe 6=http://5.gexi****.info/cao/aa6.exe 7=http://5.gexi****.info/cao/aa7.exe 8=http://xxx.dfasd****.cn/cao/aa8.exe 9=http://xxx.dfasd****.cn/cao/aa9.exe 10=http://111.dfasd****.cn/cao/aa10.exe 11=http://111.dfasd****.cn/cao/aa11.exe 12=http://111.dfasd****.cn/cao/aa12.exe 13=http://111.dfasd****.cn/cao/aa13.exe 14=http://111.dfasd****.cn/cao/aa14.exe 15=http://222.dfasd****.cn/cao/aa15.exe 16=http://222.dfasd****.cn/cao/aa16.exe 17=http://222.dfasd****.cn/cao/aa17.exe 18=http://222.dfasd****.cn/cao/aa18.exe 19=http://222.dfasd****.cn/cao/aa19.exe 20=http://333.dfasd****.cn/cao/aa20.exe 21=http://333.dfasd****.cn/cao/aa21.exe 22=http://333.dfasd****.cn/cao/aa22.exe 23=http://333.dfasd****.cn/cao/aa23.exe 24=http://444.dfasd****.cn/cao/aa24.exe 25=http://xxx.dfasd****.cn/cao/aa25.exe 26=http://xxx.dfasd****.cn/cao/aa26.exe 27=http://xxx.dfasd****.cn/cao/aa27.exe 28=http://xxx.dfasd****.cn/cao/aa28.exe 29=http://xxx.dfasd****.cn/cao/aa29.exe 30=http://444.dfasd****.cn/cao/aa111.exe 注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。 %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是C:\\Windows\\System windowsXP中默认的安装路径是C:\\Windows\\System32 清除方案1、使用安天防线可彻底清除此病毒(推荐),安天防线下载地址:http://www.antiyfx.com/download.htm 。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1)使用ATOOL“进程管理”关闭病毒相关进程,结束Explorer.exe进程,ATOOL下载地址:http://www.antiy.com/freetools/atool.htm 。 (2)强行删除病毒文件: %Windir%\\update.exe (3)删除病毒服务注册表及映像劫持项 [HKEY_LOCAL_MACHINE\\SYSTEM \\CurrentControlSet\\Enum\\Root \\LEGACY_MHFP\\0000\\Service] 键值:"vspqnk" 删除vspqnk键值 [HKEY_LOCAL_MACHINE\\SYSTEM \\CurrentControlSet\\Services] 键值:"vspqnk" 删除vspqnk键值 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion] 键值:"Image File Execution Options" 删除注册表Image File Execution Options键值 推荐防杀工具安防天线2008、360等 补充资料:病毒、木马影响级别A级 大面积感染流行,并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。 B级 有一定的感染流行面积,或者有鲜明的技术特点值得进一步关注,或为既往A级蠕虫比较成熟的变种 C级 有少量感染流行,或虽然有一定感染流行面积,但是既往B级蠕虫变种。 D级 有极少量感染流行,但有一定潜在威胁。 E级 没有发现感染流行。 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。