“Trojan/Win32.Murlo.aab[Downloader]”的意思、由来-中文百科全书

病毒标签：

病毒名称： Trojan/Win32.Murlo.aab[Downloader]

病毒类型：木马

文件 MD5： 460CDB6F5016A870FB7B36B45A79C586

公开范围：完全公开

危害等级： 5

文件长度： 39,245 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： FSG 2.0 -> bart/xt

该病毒为后门类，病毒运行后判断该进程执行的线程数，如果小于或等于10个，则退出程序；判断创建的互斥体是否名为"puuyt"，若此互斥变量存在，则退出进程；解密数据释放文件"1696"到%Temp%目录下；解密数据得到安全软件的进程名称后查看进程列表，如果存在，结束进程；添加映像劫持使下载软件迅雷无法使用；若发现机器中运行360保险箱，获取该程序的执行路径并尝试通过在命令行中加入/u参数对其进行卸载；修改注册表通过关闭360服务的方式使360失效；衍生文件"1"到%Windir%\\tasks目录下，并将该文件拷贝到所有非系统驱动器下含扩展名为"exe"文件的目录下，并更名为usp10.dll；创建线程监视当前窗口类名是否为"AfxControlBar42s"，如果是则关闭该窗口；修改注册表隐藏具有隐藏属性的文件，隐藏具有系统属性的文件；创建线程监视进程列表中是否存在进程名为"cmd.exe"或"Thunder5.exe"的进程，如果存在关闭该进程；连接网络下载病毒地址列表，并依照列表下载病毒文件并执行；获取本机信息发送到指定地址；下载文件替换正常的hosts文件屏蔽部分域名；下载病毒文件的最新版本并执行；修改注册表创建服务提权，执行后删除服务和文件；修改系统输入法文件。

行为分析-本地行为：

1、文件运行后会释放以下文件

%System32%\\ctfmon.exe

%Windir%\\Tasks\\1

%Temp%1696

%非系统驱动器下的含exe文件的目录%\\usp10.dll

2、新增注册表

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden

新: DWORD: 2 (0x2)

旧: DWORD: 1 (0x1)

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden

新: DWORD: 0 (0)

旧: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\Thunder5.exe\\Debugger

键值: 字符串: "svchost.exe"

3、遍历进程，对特定进程进行处理

（1）结束下列进程名

kavstart.exe、kissvc.exe、kmailmon.exe、kpfw32.exe、kpfwsvc.exe、kwatch.exe、　ccenter.exe、ras.exe、rstray.exe、rsagent.exe、ravtask.exe、ravstub.exe、ravmon.exe、ravmond.exe avp.exe、360safebox.exe、360Safe.exe、Thunder5.exe、rfwmain.exe、rfwstub.exe、rfwsrv.exe

（2）对下面的进程进行实时监控，一经发现马上关闭

cmd.exe、thunder5.exe

4、检测当前窗口的类名称是否为"AfxControlBar42s"

向该窗口发送WM_CLOSE消息，并模拟键盘的回车键

5、创建提权服务，提升为SeDebugPrivilege权限

服务在注册表中的路径为：

HKLM\\SYSTEM\\CurrentControlSet\\Services\\io

6、调用控制码替换系统文件

建立“\\\\.\\safebreas” 通过DeviceIoControl调用0x22001c，替换系统文件ctfmon.exe

行为分析-网络行为：

1、向服务器回传本地信息

（1）回传本地mac地址和病毒版本

http://tongji.ombb888**.cn/select/getmac.asp?x= 00-0C-29-9C-7B-01&y=a1&t= 401595

2、下载病毒的最新版本

地址1：http://www.hoho-3**.cn/gr.exe

地址2：http://www.hoho-3**.cn/down/gr.exe

IP：59.34.198.10*

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

%Temp% = C:\\Documents and Settings\\AAAAA\\Local Settings\\Temp 当前用户TEMP缓存变量

%Windir%\\ WINDODWS所在目录

%DriveLetter%\\ 逻辑驱动器根目录

%ProgramFiles%\\ 系统程序默认安装目录

%HomeDrive% = C:\\ 当前启动的系统的所在分区

%Documents and Settings%\\ 当前用户文档根目录

词条	Trojan/Win32.Murlo.aab[Downloader]
释义	木马病毒Trojan/Win32.Murlo.aabDownloader 病毒标签：病毒描述：行为分析-本地行为：行为分析-网络行为：病毒标签：病毒名称： Trojan/Win32.Murlo.aab[Downloader] 病毒类型：木马文件 MD5： 460CDB6F5016A870FB7B36B45A79C586 公开范围：完全公开危害等级： 5 文件长度： 39,245 字节感染系统： Windows98以上版本开发工具： Microsoft Visual C++ 6.0 加壳类型： FSG 2.0 -> bart/xt 病毒描述：该病毒为后门类，病毒运行后判断该进程执行的线程数，如果小于或等于10个，则退出程序；判断创建的互斥体是否名为"puuyt"，若此互斥变量存在，则退出进程；解密数据释放文件"1696"到%Temp%目录下；解密数据得到安全软件的进程名称后查看进程列表，如果存在，结束进程；添加映像劫持使下载软件迅雷无法使用；若发现机器中运行360保险箱，获取该程序的执行路径并尝试通过在命令行中加入/u参数对其进行卸载；修改注册表通过关闭360服务的方式使360失效；衍生文件"1"到%Windir%\\tasks目录下，并将该文件拷贝到所有非系统驱动器下含扩展名为"exe"文件的目录下，并更名为usp10.dll；创建线程监视当前窗口类名是否为"AfxControlBar42s"，如果是则关闭该窗口；修改注册表隐藏具有隐藏属性的文件，隐藏具有系统属性的文件；创建线程监视进程列表中是否存在进程名为"cmd.exe"或"Thunder5.exe"的进程，如果存在关闭该进程；连接网络下载病毒地址列表，并依照列表下载病毒文件并执行；获取本机信息发送到指定地址；下载文件替换正常的hosts文件屏蔽部分域名；下载病毒文件的最新版本并执行；修改注册表创建服务提权，执行后删除服务和文件；修改系统输入法文件。行为分析-本地行为： 1、文件运行后会释放以下文件 %System32%\\ctfmon.exe %Windir%\\Tasks\\1 %Temp%1696 %非系统驱动器下的含exe文件的目录%\\usp10.dll 2、新增注册表 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden 新: DWORD: 2 (0x2) 旧: DWORD: 1 (0x1) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden 新: DWORD: 0 (0) 旧: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\Thunder5.exe\\Debugger 键值: 字符串: "svchost.exe" 3、遍历进程，对特定进程进行处理（1）结束下列进程名 kavstart.exe、kissvc.exe、kmailmon.exe、kpfw32.exe、kpfwsvc.exe、kwatch.exe、　ccenter.exe、ras.exe、rstray.exe、rsagent.exe、ravtask.exe、ravstub.exe、ravmon.exe、ravmond.exe avp.exe、360safebox.exe、360Safe.exe、Thunder5.exe、rfwmain.exe、rfwstub.exe、rfwsrv.exe （2）对下面的进程进行实时监控，一经发现马上关闭 cmd.exe、thunder5.exe 4、检测当前窗口的类名称是否为"AfxControlBar42s" 向该窗口发送WM_CLOSE消息，并模拟键盘的回车键 5、创建提权服务，提升为SeDebugPrivilege权限服务在注册表中的路径为： HKLM\\SYSTEM\\CurrentControlSet\\Services\\io 6、调用控制码替换系统文件建立“\\\\.\\safebreas” 通过DeviceIoControl调用0x22001c，替换系统文件ctfmon.exe 行为分析-网络行为： 1、向服务器回传本地信息（1）回传本地mac地址和病毒版本 http://tongji.ombb888.cn/select/getmac.asp?x= 00-0C-29-9C-7B-01&y=a1&t= 401595 2、下载病毒的最新版本地址1：http://www.hoho-3.cn/gr.exe 地址2：http://www.hoho-3*.cn/down/gr.exe IP：59.34.198.10 注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。 %Temp% = C:\\Documents and Settings\\AAAAA\\Local Settings\\Temp 当前用户TEMP缓存变量 %Windir%\\ WINDODWS所在目录 %DriveLetter%\\ 逻辑驱动器根目录 %ProgramFiles%\\ 系统程序默认安装目录 %HomeDrive% = C:\\ 当前启动的系统的所在分区 %Documents and Settings%\\ 当前用户文档根目录
随便看	石家庄市城市管理局石家庄市城市驿站快捷酒店石家庄市城乡规划局石家庄市城乡建设学校石家庄市成功驾校石家庄市大地幼儿园石家庄市档案馆石家庄市档案局石家庄市道桥管理处石家庄市翟营大街小学石家庄市地震局石家庄市地震局地震观测站石家庄市第23中石家庄市第28中学石家庄市第40中学石家庄市第43中学石家庄市第44中学石家庄市第45中学石家庄市第81中学石家庄市第八十五中学石家庄市第八医院石家庄市第八中学石家庄市第二十八中学石家庄市第二十二中学石家庄市第二十七中学

病毒标签：

病毒描述：

行为分析-本地行为：

行为分析-网络行为：