“Trojan/Win32.Murlo.aab[Downloader]”的意思、由来-中文百科全书

病毒标签：

病毒名称： Trojan/Win32.Murlo.aab[Downloader]

病毒类型：木马

文件 MD5： 460CDB6F5016A870FB7B36B45A79C586

公开范围：完全公开

危害等级： 5

文件长度： 39,245 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： FSG 2.0 -> bart/xt

该病毒为后门类，病毒运行后判断该进程执行的线程数，如果小于或等于10个，则退出程序；判断创建的互斥体是否名为"puuyt"，若此互斥变量存在，则退出进程；解密数据释放文件"1696"到%Temp%目录下；解密数据得到安全软件的进程名称后查看进程列表，如果存在，结束进程；添加映像劫持使下载软件迅雷无法使用；若发现机器中运行360保险箱，获取该程序的执行路径并尝试通过在命令行中加入/u参数对其进行卸载；修改注册表通过关闭360服务的方式使360失效；衍生文件"1"到%Windir%\\tasks目录下，并将该文件拷贝到所有非系统驱动器下含扩展名为"exe"文件的目录下，并更名为usp10.dll；创建线程监视当前窗口类名是否为"AfxControlBar42s"，如果是则关闭该窗口；修改注册表隐藏具有隐藏属性的文件，隐藏具有系统属性的文件；创建线程监视进程列表中是否存在进程名为"cmd.exe"或"Thunder5.exe"的进程，如果存在关闭该进程；连接网络下载病毒地址列表，并依照列表下载病毒文件并执行；获取本机信息发送到指定地址；下载文件替换正常的hosts文件屏蔽部分域名；下载病毒文件的最新版本并执行；修改注册表创建服务提权，执行后删除服务和文件；修改系统输入法文件。

行为分析-本地行为：

1、文件运行后会释放以下文件

%System32%\\ctfmon.exe

%Windir%\\Tasks\\1

%Temp%1696

%非系统驱动器下的含exe文件的目录%\\usp10.dll

2、新增注册表

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden

新: DWORD: 2 (0x2)

旧: DWORD: 1 (0x1)

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden

新: DWORD: 0 (0)

旧: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\Thunder5.exe\\Debugger

键值: 字符串: "svchost.exe"

3、遍历进程，对特定进程进行处理

（1）结束下列进程名

kavstart.exe、kissvc.exe、kmailmon.exe、kpfw32.exe、kpfwsvc.exe、kwatch.exe、　ccenter.exe、ras.exe、rstray.exe、rsagent.exe、ravtask.exe、ravstub.exe、ravmon.exe、ravmond.exe avp.exe、360safebox.exe、360Safe.exe、Thunder5.exe、rfwmain.exe、rfwstub.exe、rfwsrv.exe

（2）对下面的进程进行实时监控，一经发现马上关闭

cmd.exe、thunder5.exe

4、检测当前窗口的类名称是否为"AfxControlBar42s"

向该窗口发送WM_CLOSE消息，并模拟键盘的回车键

5、创建提权服务，提升为SeDebugPrivilege权限

服务在注册表中的路径为：

HKLM\\SYSTEM\\CurrentControlSet\\Services\\io

6、调用控制码替换系统文件

建立“\\\\.\\safebreas” 通过DeviceIoControl调用0x22001c，替换系统文件ctfmon.exe

行为分析-网络行为：

1、向服务器回传本地信息

（1）回传本地mac地址和病毒版本

http://tongji.ombb888**.cn/select/getmac.asp?x= 00-0C-29-9C-7B-01&y=a1&t= 401595

2、下载病毒的最新版本

地址1：http://www.hoho-3**.cn/gr.exe

地址2：http://www.hoho-3**.cn/down/gr.exe

IP：59.34.198.10*

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

%Temp% = C:\\Documents and Settings\\AAAAA\\Local Settings\\Temp 当前用户TEMP缓存变量

%Windir%\\ WINDODWS所在目录

%DriveLetter%\\ 逻辑驱动器根目录

%ProgramFiles%\\ 系统程序默认安装目录

%HomeDrive% = C:\\ 当前启动的系统的所在分区

%Documents and Settings%\\ 当前用户文档根目录

词条	Trojan/Win32.Murlo.aab[Downloader]
释义	木马病毒Trojan/Win32.Murlo.aabDownloader 病毒标签：病毒描述：行为分析-本地行为：行为分析-网络行为：病毒标签：病毒名称： Trojan/Win32.Murlo.aab[Downloader] 病毒类型：木马文件 MD5： 460CDB6F5016A870FB7B36B45A79C586 公开范围：完全公开危害等级： 5 文件长度： 39,245 字节感染系统： Windows98以上版本开发工具： Microsoft Visual C++ 6.0 加壳类型： FSG 2.0 -> bart/xt 病毒描述：该病毒为后门类，病毒运行后判断该进程执行的线程数，如果小于或等于10个，则退出程序；判断创建的互斥体是否名为"puuyt"，若此互斥变量存在，则退出进程；解密数据释放文件"1696"到%Temp%目录下；解密数据得到安全软件的进程名称后查看进程列表，如果存在，结束进程；添加映像劫持使下载软件迅雷无法使用；若发现机器中运行360保险箱，获取该程序的执行路径并尝试通过在命令行中加入/u参数对其进行卸载；修改注册表通过关闭360服务的方式使360失效；衍生文件"1"到%Windir%\\tasks目录下，并将该文件拷贝到所有非系统驱动器下含扩展名为"exe"文件的目录下，并更名为usp10.dll；创建线程监视当前窗口类名是否为"AfxControlBar42s"，如果是则关闭该窗口；修改注册表隐藏具有隐藏属性的文件，隐藏具有系统属性的文件；创建线程监视进程列表中是否存在进程名为"cmd.exe"或"Thunder5.exe"的进程，如果存在关闭该进程；连接网络下载病毒地址列表，并依照列表下载病毒文件并执行；获取本机信息发送到指定地址；下载文件替换正常的hosts文件屏蔽部分域名；下载病毒文件的最新版本并执行；修改注册表创建服务提权，执行后删除服务和文件；修改系统输入法文件。行为分析-本地行为： 1、文件运行后会释放以下文件 %System32%\\ctfmon.exe %Windir%\\Tasks\\1 %Temp%1696 %非系统驱动器下的含exe文件的目录%\\usp10.dll 2、新增注册表 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden 新: DWORD: 2 (0x2) 旧: DWORD: 1 (0x1) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden 新: DWORD: 0 (0) 旧: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\Thunder5.exe\\Debugger 键值: 字符串: "svchost.exe" 3、遍历进程，对特定进程进行处理（1）结束下列进程名 kavstart.exe、kissvc.exe、kmailmon.exe、kpfw32.exe、kpfwsvc.exe、kwatch.exe、　ccenter.exe、ras.exe、rstray.exe、rsagent.exe、ravtask.exe、ravstub.exe、ravmon.exe、ravmond.exe avp.exe、360safebox.exe、360Safe.exe、Thunder5.exe、rfwmain.exe、rfwstub.exe、rfwsrv.exe （2）对下面的进程进行实时监控，一经发现马上关闭 cmd.exe、thunder5.exe 4、检测当前窗口的类名称是否为"AfxControlBar42s" 向该窗口发送WM_CLOSE消息，并模拟键盘的回车键 5、创建提权服务，提升为SeDebugPrivilege权限服务在注册表中的路径为： HKLM\\SYSTEM\\CurrentControlSet\\Services\\io 6、调用控制码替换系统文件建立“\\\\.\\safebreas” 通过DeviceIoControl调用0x22001c，替换系统文件ctfmon.exe 行为分析-网络行为： 1、向服务器回传本地信息（1）回传本地mac地址和病毒版本 http://tongji.ombb888.cn/select/getmac.asp?x= 00-0C-29-9C-7B-01&y=a1&t= 401595 2、下载病毒的最新版本地址1：http://www.hoho-3.cn/gr.exe 地址2：http://www.hoho-3*.cn/down/gr.exe IP：59.34.198.10 注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。 %Temp% = C:\\Documents and Settings\\AAAAA\\Local Settings\\Temp 当前用户TEMP缓存变量 %Windir%\\ WINDODWS所在目录 %DriveLetter%\\ 逻辑驱动器根目录 %ProgramFiles%\\ 系统程序默认安装目录 %HomeDrive% = C:\\ 当前启动的系统的所在分区 %Documents and Settings%\\ 当前用户文档根目录
随便看	WLTRAY.exe wltrysvc WM wm1.dll WM2003 WM5 wm6.5 wm6.5手机软件 WM-80式273毫米火箭炮 WM8650 WM-88螺杆清洗剂 WMA WM_Acid.A wmalossless WMAN WMAP WMAplus wmaudsdk.dll WMA吧 WMA格式 WMA威廉莫里斯经纪公司 WMA中国武术职业联赛 WM-BTT WM/Cap.A WM/Cap.A病毒

病毒标签：

病毒描述：

行为分析-本地行为：

行为分析-网络行为：