词条 | Trojan/Win32.Murlo.aab[Downloader] |
释义 | 木马病毒Trojan/Win32.Murlo.aabDownloader 病毒标签:病毒名称: Trojan/Win32.Murlo.aab[Downloader] 病毒类型: 木马 文件 MD5: 460CDB6F5016A870FB7B36B45A79C586 公开范围: 完全公开 危害等级: 5 文件长度: 39,245 字节 感染系统: Windows98以上版本 开发工具: Microsoft Visual C++ 6.0 加壳类型: FSG 2.0 -> bart/xt 病毒描述:该病毒为后门类,病毒运行后判断该进程执行的线程数,如果小于或等于10个,则退出程序;判断创建的互斥体是否名为"puuyt",若此互斥变量存在,则退出进程;解密数据释放文件"1696"到%Temp%目录下;解密数据得到安全软件的进程名称后查看进程列表,如果存在,结束进程;添加映像劫持使下载软件迅雷无法使用;若发现机器中运行360保险箱,获取该程序的执行路径并尝试通过在命令行中加入/u参数对其进行卸载;修改注册表通过关闭360服务的方式使360失效;衍生文件"1"到%Windir%\\tasks目录下,并将该文件拷贝到所有非系统驱动器下含扩展名为"exe"文件的目录下,并更名为usp10.dll;创建线程监视当前窗口类名是否为"AfxControlBar42s",如果是则关闭该窗口;修改注册表隐藏具有隐藏属性的文件,隐藏具有系统属性的文件;创建线程监视进程列表中是否存在进程名为"cmd.exe"或"Thunder5.exe"的进程,如果存在关闭该进程;连接网络下载病毒地址列表,并依照列表下载病毒文件并执行;获取本机信息发送到指定地址;下载文件替换正常的hosts文件屏蔽部分域名;下载病毒文件的最新版本并执行;修改注册表创建服务提权,执行后删除服务和文件;修改系统输入法文件。 行为分析-本地行为:1、文件运行后会释放以下文件 %System32%\\ctfmon.exe %Windir%\\Tasks\\1 %Temp%1696 %非系统驱动器下的含exe文件的目录%\\usp10.dll 2、新增注册表 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden 新: DWORD: 2 (0x2) 旧: DWORD: 1 (0x1) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden 新: DWORD: 0 (0) 旧: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\Thunder5.exe\\Debugger 键值: 字符串: "svchost.exe" 3、遍历进程,对特定进程进行处理 (1)结束下列进程名 kavstart.exe、kissvc.exe、kmailmon.exe、kpfw32.exe、kpfwsvc.exe、kwatch.exe、 ccenter.exe、ras.exe、rstray.exe、rsagent.exe、ravtask.exe、ravstub.exe、ravmon.exe、ravmond.exe avp.exe、360safebox.exe、360Safe.exe、Thunder5.exe、rfwmain.exe、rfwstub.exe、rfwsrv.exe (2)对下面的进程进行实时监控,一经发现马上关闭 cmd.exe、thunder5.exe 4、检测当前窗口的类名称是否为"AfxControlBar42s" 向该窗口发送WM_CLOSE消息,并模拟键盘的回车键 5、创建提权服务,提升为SeDebugPrivilege权限 服务在注册表中的路径为: HKLM\\SYSTEM\\CurrentControlSet\\Services\\io 6、调用控制码替换系统文件 建立“\\\\.\\safebreas” 通过DeviceIoControl调用0x22001c,替换系统文件ctfmon.exe 行为分析-网络行为:1、向服务器回传本地信息 (1)回传本地mac地址和病毒版本 http://tongji.ombb888**.cn/select/getmac.asp?x= 00-0C-29-9C-7B-01&y=a1&t= 401595 2、下载病毒的最新版本 地址1:http://www.hoho-3**.cn/gr.exe 地址2:http://www.hoho-3**.cn/down/gr.exe IP:59.34.198.10* 注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 %Temp% = C:\\Documents and Settings\\AAAAA\\Local Settings\\Temp 当前用户TEMP缓存变量 %Windir%\\ WINDODWS所在目录 %DriveLetter%\\ 逻辑驱动器根目录 %ProgramFiles%\\ 系统程序默认安装目录 %HomeDrive% = C:\\ 当前启动的系统的所在分区 %Documents and Settings%\\ 当前用户文档根目录 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。