| 词条 | Trojan/Win32.Buzus.arqx[Proxy] |
| 释义 | 该恶意代码为木马类,该病毒文件对API函数进行了加密处理,病毒运行后解密部分API函数,将自身创建到进程中,读取内存MZP标志,查找00401000内存空间地址,比较是否是1000,申请内存空间将00400000地址的病毒代码写入到内存空间,在进程创建线程释放病毒文件到%System32%目录下,在%System32%目录下新添加lowsec目录,衍生"local.ds"、"user.ds"到该目录下,修改注册表使用系统文件达到启动病毒,连接网络访问请求并发送数据,该病毒通过SMTP引擎群发邮件进行传播。 病毒标签病毒名称: Trojan/Win32.Buzus.arqx[Proxy] 病毒类型: 木马 文件 MD5: FB367C916F23FD046C1C551A2280DFC4 公开范围: 完全公开 危害等级: 4 文件长度: 82,950 字节 感染系统: Windows98以上版本 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 病毒描述该恶意代码为木马类,该病毒文件对API函数进行了加密处理,病毒运行后解密部分API函数,将自身创建到进程中,读取内存MZP标志,查找00401000内存空间地址,比较是否是1000,申请内存空间将00400000地址的病毒代码写入到内存空间,在进程创建线程释放病毒文件到%System32%目录下,在%System32%目录下新添加lowsec目录,衍生"local.ds"、"user.ds"到该目录下,修改注册表使用系统文件达到启动病毒,连接网络访问请求并发送数据,该病毒通过SMTP引擎群发邮件进行传播。 行为分析-本地行为1、该病毒文件对API函数进行了加密处理,病毒运行后解密部分API函数,将自身创建到进程中,读取内存MZP标志,查找00401000内存空间地址,比较是否是1000,申请内存空间将00400000地址的病毒代码写入到内存空间。 2、文件运行后会释放以下文件 %System32%\\sdra64.exe %System32%\\lowsec\\local.ds %System32%\\lowsec\\user.ds 3、修改注册表 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Userinit 新: 字符串: "%System32%\\userinit.exe,%System32%\\sdra64.exe," 旧: 字符串: "%System32%\\userinit.exe," 描述:修改注册表使用userinit.exe系统文件启动病毒 行为分析-网络行为协议:TCP 端口:80 连接IP地址: 描述:连接以上域名请求以下数据 HM.C?晍Y?蛵盗\\9屃攀?[鳷冶X??1??镉.%."?9瑶d皜?H,磒.^$)?:q佛 ?薭啛瞦嬱 )/C蟫2臐jD齏?^=2篜6偅蠂'[辅rT`勗侇袩@宵锦椣锪X樘?骟?Z*剶 兽)颖涗5判戭Z胊IJ欙? 鞧艕せ*4汔幌i遚C 菅-?W<锿?@K窨气?J¬ 鞈 2gD 墝P? 鳫a/pXe 协议:TCP 端口:80 连接IP地址: http://92.62.101.3**/phpbb/dir.php 描述:连接以上域名发送以下数据 M.C?晍Y羝蛵S摵珃 嘨惭礲?`歓?1??镉.9."豵d櫦~氭?? i凞qJ頾{6ω ?鵏碍(倾好8 ?PΣ-?澐p\\J遱x??z辅rud勗闉わ2蟮<哙浈徂駃躯?枱?8帻{A荂珍5列懳C胊覞铩an??嬅EW倶讶甃K磜{L?褞O?抖巽L4潶?蔐齇?陚?P屶犿:B,,?馅K顜u>?匦簎? ~?[线yk(冶 Z儤?)Ym唭煱悡+H!uHTTP/1.1 200 OK Connection: close Date: Thu, 26 Mar 2009 00:31:59 GMT Server: Microsoft-IIS/6.0 Content-type: text/html *L.C?晍Y?蛵 ?J?袽FU嚜曥 媫?1??镉.!."?/PRE> 注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。 %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是%WINDOWS%\\System windowsXP中默认的安装路径是%system32%。 清除方案1、使用安天防线可彻底清除此病毒(推荐 ). 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 推荐使用ATool管理工具。 (1) 强行删除病毒衍生的文件 %System32%\\sdra64.exe %System32%\\lowsec\\local.ds %System32%\\lowsec\\user.ds (2)恢复病毒修改的注册表项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Userinit 新: 字符串: "%System32%\\userinit.exe,%System32%\\sdra64.exe," 旧: 字符串: "%System32%\\userinit.exe," 描述:修改注册表使用userinit.exe系统文件启动病毒 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。