请输入您要查询的百科知识:

 

词条 Trojan/Win32.Murlo.aab[Downloader]
释义

木马病毒Trojan/Win32.Murlo.aabDownloader

病毒标签:

病毒名称: Trojan/Win32.Murlo.aab[Downloader]

病毒类型: 木马

文件 MD5: 460CDB6F5016A870FB7B36B45A79C586

公开范围: 完全公开

危害等级: 5

文件长度: 39,245 字节

感染系统: Windows98以上版本

开发工具: Microsoft Visual C++ 6.0

加壳类型: FSG 2.0 -> bart/xt

病毒描述:

该病毒为后门类,病毒运行后判断该进程执行的线程数,如果小于或等于10个,则退出程序;判断创建的互斥体是否名为"puuyt",若此互斥变量存在,则退出进程;解密数据释放文件"1696"到%Temp%目录下;解密数据得到安全软件的进程名称后查看进程列表,如果存在,结束进程;添加映像劫持使下载软件迅雷无法使用;若发现机器中运行360保险箱,获取该程序的执行路径并尝试通过在命令行中加入/u参数对其进行卸载;修改注册表通过关闭360服务的方式使360失效;衍生文件"1"到%Windir%\\tasks目录下,并将该文件拷贝到所有非系统驱动器下含扩展名为"exe"文件的目录下,并更名为usp10.dll;创建线程监视当前窗口类名是否为"AfxControlBar42s",如果是则关闭该窗口;修改注册表隐藏具有隐藏属性的文件,隐藏具有系统属性的文件;创建线程监视进程列表中是否存在进程名为"cmd.exe"或"Thunder5.exe"的进程,如果存在关闭该进程;连接网络下载病毒地址列表,并依照列表下载病毒文件并执行;获取本机信息发送到指定地址;下载文件替换正常的hosts文件屏蔽部分域名;下载病毒文件的最新版本并执行;修改注册表创建服务提权,执行后删除服务和文件;修改系统输入法文件。

行为分析-本地行为:

1、文件运行后会释放以下文件

%System32%\\ctfmon.exe

%Windir%\\Tasks\\1

%Temp%1696

%非系统驱动器下的含exe文件的目录%\\usp10.dll

2、新增注册表

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden

新: DWORD: 2 (0x2)

旧: DWORD: 1 (0x1)

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden

新: DWORD: 0 (0)

旧: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\Thunder5.exe\\Debugger

键值: 字符串: "svchost.exe"

3、遍历进程,对特定进程进行处理

(1)结束下列进程名

kavstart.exe、kissvc.exe、kmailmon.exe、kpfw32.exe、kpfwsvc.exe、kwatch.exe、 ccenter.exe、ras.exe、rstray.exe、rsagent.exe、ravtask.exe、ravstub.exe、ravmon.exe、ravmond.exe avp.exe、360safebox.exe、360Safe.exe、Thunder5.exe、rfwmain.exe、rfwstub.exe、rfwsrv.exe

(2)对下面的进程进行实时监控,一经发现马上关闭

cmd.exe、thunder5.exe

4、检测当前窗口的类名称是否为"AfxControlBar42s"

向该窗口发送WM_CLOSE消息,并模拟键盘的回车键

5、创建提权服务,提升为SeDebugPrivilege权限

服务在注册表中的路径为:

HKLM\\SYSTEM\\CurrentControlSet\\Services\\io

6、调用控制码替换系统文件

建立“\\\\.\\safebreas” 通过DeviceIoControl调用0x22001c,替换系统文件ctfmon.exe

行为分析-网络行为:

1、向服务器回传本地信息

(1)回传本地mac地址和病毒版本

http://tongji.ombb888**.cn/select/getmac.asp?x= 00-0C-29-9C-7B-01&y=a1&t= 401595

2、下载病毒的最新版本

地址1:http://www.hoho-3**.cn/gr.exe

地址2:http://www.hoho-3**.cn/down/gr.exe

IP:59.34.198.10*

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。

%Temp% = C:\\Documents and Settings\\AAAAA\\Local Settings\\Temp 当前用户TEMP缓存变量

%Windir%\\ WINDODWS所在目录

%DriveLetter%\\ 逻辑驱动器根目录

%ProgramFiles%\\ 系统程序默认安装目录

%HomeDrive% = C:\\ 当前启动的系统的所在分区

%Documents and Settings%\\ 当前用户文档根目录

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/21 0:27:28