“蝗虫军团变种”的意思、由来-中文百科全书

病毒名称

中文名称：蝗虫军团变种

BitDefender：Trojan.PWS.OnlineGames.ZWI

Kaspersky：Trojan-GameThief.Win32.OnLineGames.thxi

NOD32：a variant of Win32/PSW.OnLineGames.NRF

Rising：Trojan.PSW.Win32.GameOL.qop

VT扫描时间：2008.10.05 07:50:33 (CET)

EQS Lab编号：081005126

病毒大小：17.7 KB (18,213 字节)

MD5码：3EF19FC7F9064E71F452CC26F855FC0B

病毒类型：特洛伊木马

主要传播方式：网络

测试平台： WinXP SP3系统 (默认Shell为BBlean) EQSecurity（HIPS）实机

危害程度：★★★★☆

病毒行径

运行后创建启动项

创建注册表值

进程路径:F:\\Once\\12\\12.exe

注册表路径:HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager

注册表名称:PendingFileRenameOperations

触发规则:所有程序规则->自动运行->*\\SYSTEM\\ControlSet*\\Control\\Session Manager

创建注册表值

进程路径:F:\\Once\\12\\12.exe

注册表路径:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows

注册表名称:AppInit_DLLs

触发规则:所有程序规则->自动运行->*\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows

删除注册表

进程路径:F:\\Once\\12\\12.exe

注册表路径:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

注册表名称:HBService

触发规则:所有程序规则->自动运行->*\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run*

释放SYS

创建文件

进程路径:F:\\Once\\12\\12.exe

文件路径:C:\\windows\\system32\\drivers\\HBKernel32.sys

触发规则:所有程序规则->文件阻止及保护->?:\\*.sys

SCM 安装驱动

访问服务管理器

进程路径:F:\\Once\\12\\12.exe

触发规则:所有程序规则->*

安装服务或者驱动

进程路径:C:\\WINDOWS\\system32\\services.exe

文件路径:C:\\windows\\system32\\drivers\\HBKernel32.sys

触发规则:所有程序规则->阻止运行->%windir%\\*

释放DLL

创建文件

进程路径:F:\\Once\\12\\12.exe

文件路径:C:\\windows\\system32\\HBCONQUER.dll

触发规则:所有程序规则->文件阻止及保护->?:\\*.dll

2008-09-30 20:18:53 创建文件

进程路径:F:\\Once\\12\\12.exe

文件路径:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\HBCONQUER.dll

触发规则:所有程序规则->Documents and Settings->?:\\Documents and Settings\\*.dll

创建文件

进程路径:F:\\Once\\12\\12.exe

文件路径:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\HBSelfDel.dll

触发规则:所有程序规则->Documents and Settings->?:\\Documents and Settings\\*.dll

释放exe

创建文件

进程路径:F:\\Once\\12\\12.exe

文件路径:C:\\windows\\system32\\System.exe

触发规则:所有程序规则->文件阻止及保护->?:\\*.exe

调用rundll32

运行应用程序

进程路径:F:\\Once\\12\\12.exe

文件路径:C:\\WINDOWS\\system32\\rundll32.exe

命令行:C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\HBSelfDel.dll,MagicDelete F:\\Once\\12\\12.exe

触发规则:所有程序规则->阻止运行->%windir%\\*

rundll32加载病毒dll

加载库文件

进程路径:C:\\WINDOWS\\system32\\rundll32.exe

文件路径:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\HBSelfDel.dll

触发规则:所有程序规则->阻止运行->?:\\Documents and Settings\\*\\Local Settings\\Temp\\*

调用exe

运行应用程序

进程路径:F:\\Once\\12\\12.exe

文件路径:C:\\WINDOWS\\system32\\System.exe

触发规则:所有程序规则->阻止运行->%windir%\\*

安装钩子

安装全局钩子

进程路径:C:\\WINDOWS\\system32\\System.exe

文件路径:HBmhly.dll,HB1000Y.dll,HBWOOOL.dll,HBXY2.dll,HBJXSJ.dll,HBSO2.dll,HBFS2.dll,HBXY3.dll,HBSHQ.dll,HBFY.dll,HBWULIN2.dll,HBW2I.dll,HBKDXY.dll,HBWORLD2.dll,HBASKTAO.dll,HBZHUXIAN.dll,HBWOW.dll,HBZERO.dll,HBBO.dll,HBCONQUER.dll,HBSOUL.dll,HBCHIBI.dll,HBDNF.dll,HBWARLORDS.dll,HBTL.dll,HBPICKCHINA.dll,HBCT.dll,HBGC.dll,HBHM.dll,HBHX2.dll,HBQQHX.dll,HBTW2.dll,HBQQSG.dll,HBQQFFO.dll,HBZT.dll,HBMIR2.dll,HBRXJH.dll,HBYY.dll,HBMXD.dll,HBSQ.dll,HBTJ.dll,HBFHZL.dll,HBWLQX.dll,HBLYFX.dll,HBR2.dll,HBCHD.dll,HBTZ.dll,HBQQXX.dll,HBWD.dll,HBZG.dll,HBPPBL.dll,HBXMJ.dll,HBJTLQ.dll,HBQJSJ.dll

钩子类型:WH_JOURNALRECORD

触发规则:所有程序规则->*

安装全局钩子

进程路径:C:\\WINDOWS\\system32\\System.exe

文件路径:C:\\windows\\system32\\HBCONQUER.dll

钩子类型:WH_MOUSE

触发规则:所有程序规则->阻止运行->%windir%\\*

病毒特征

下载并运行的木马很多，还会修改主页，并且通过一些技术来保护主页不被用户或其它软件再次修改，以达到长期占有的目的。

主页改完又接着大量安装插件了。

伪装QQ系统消息进行钓鱼。

开机大量弹出广告窗口，占用大量系统资源。

解决办法

中了蝗虫军团后.木马生成启动项system.exe和一个恶意驱动.在系统进程中加载大量dll.监视DLL组件是否被调用，如果发现不存在(发现被关闭掉)则重新调用，达到自我保护的目的和躲避安全软件主动防御和监控等，达到自我保护的目的。通过调用“sfc_os.dll”来躲避系统“Windows 文件保护”功能对“C:\\WINDOWS\\system32\\rpcss.dll”文件的监视保护.病毒会下载大量木马．给用户处理带来难度。

用户查杀后容易导致无法复制、粘贴、任务栏出现异常。主要是rpc服务没有启动。此病毒会替换系统文件userinit.exe rpcss.dll。下面是简单的处理方法。每个人的情况不同，应根据诊断报告做出不同的处理。

1、结束userinit.exe进程。从光盘中解压出此文件，放在C:\\WINDOWS\\system32\\下面。rpcss.dll也可以从光盘中解压放在C:\\WINDOWS\\system32\\下面。或是找到C:\\WINDOWS\\system32\\srpcss.dll或是C:\\WINDOWS\\system32\\spcss.dll。将其改名为rpcss.dll。主要是病毒用“MoveFileExA”将其移动这两处。

2、首先删除病毒文件“C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\路径下的文件。

3、做好以上步骤后。根据诊断报告中反映的情况粉碎病毒加载的模块。使用工具可以上网下载。

4、重启后，暂时不要上网。打开注册表，找到把注册表“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\rpcss\\ObjectName”键值改为“NT AUTHORITY\etworkService”。（提升该DLL所在的服务的权限，把原权限“NT AUTHORITY\etworkService”提升为系统最高权限“LocalSystem”）

5、显示隐藏文件，把C:\\WINDOWS\\system32\\下面可疑的，具有隐藏属性的文件找到后删除掉。不熟悉的可以上网搜索一下。数字加字母后缀名为cfg的要删除掉。

6、下载Dr.Web CureIt到桌面杀毒

7、重新启动计算机系统，系统杀毒完毕，系统重新启动后就可以上网了，粘贴功能有效了，同时任务栏的显示也正常了。

8、有不少网友反映查杀后,只要一上QQ就会重新下载这些病毒.请检查一一QQ安装目录x:\\Program Files\\Tencent\\QQ\\PSAPI.DLL有无这个文件.请删除掉。

病毒总结

“蝗虫军团”是一个很邪恶的下载者，其下载的木马数量之多，涉及方面之广，手段之恶劣，已经达到令人发指的程度。并具有自我更新，U盘传播，大有赶超“机器狗”和“磁碟机”之势。

请大家擦亮双眼，把这邪恶的“蝗虫军团”请出系统吧。

最后，再复述一下清除“蝗虫军团”的要点：

1．下载最新版的木马专杀大全或杀毒软件，断开网络进行查杀。

2．使用360安全卫士或杀毒软件进行木马的查杀和恶评插件的查杀。

3．经常使用360安全卫士并修复系统漏洞。

4．安装好防火墙。

词条	蝗虫军团变种
释义	“蝗虫军团”是一个很邪恶的下载者，其下载的木马数量之多，涉及方面之广，手段之恶劣，已经达到令人发指的程度。并具有自我更新，U盘传播，大有赶超“机器狗”和“磁碟机”之势。病毒行径病毒特征解决办法病毒总结病毒名称中文名称：蝗虫军团变种 BitDefender：Trojan.PWS.OnlineGames.ZWI Kaspersky：Trojan-GameThief.Win32.OnLineGames.thxi NOD32：a variant of Win32/PSW.OnLineGames.NRF Rising：Trojan.PSW.Win32.GameOL.qop VT扫描时间：2008.10.05 07:50:33 (CET) EQS Lab编号：081005126 病毒大小：17.7 KB (18,213 字节) MD5码：3EF19FC7F9064E71F452CC26F855FC0B 病毒类型：特洛伊木马主要传播方式：网络测试平台： WinXP SP3系统 (默认Shell为BBlean) EQSecurity（HIPS）实机危害程度：★★★★☆ 病毒行径运行后创建启动项创建注册表值进程路径:F:\\Once\\12\\12.exe 注册表路径:HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager 注册表名称:PendingFileRenameOperations 触发规则:所有程序规则->自动运行->\\SYSTEM\\ControlSet\\Control\\Session Manager 创建注册表值进程路径:F:\\Once\\12\\12.exe 注册表路径:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows 注册表名称:AppInit_DLLs 触发规则:所有程序规则->自动运行->\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows 删除注册表* 进程路径:F:\\Once\\12\\12.exe 注册表路径:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 注册表名称:HBService 触发规则:所有程序规则->自动运行->\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 释放SYS 创建文件进程路径:F:\\Once\\12\\12.exe 文件路径:C:\\windows\\system32\\drivers\\HBKernel32.sys 触发规则:所有程序规则->文件阻止及保护->?:\\.sys SCM 安装驱动访问服务管理器* 进程路径:F:\\Once\\12\\12.exe 触发规则:所有程序规则->* 安装服务或者驱动进程路径:C:\\WINDOWS\\system32\\services.exe 文件路径:C:\\windows\\system32\\drivers\\HBKernel32.sys 触发规则:所有程序规则->阻止运行->%windir%\\* 释放DLL 创建文件进程路径:F:\\Once\\12\\12.exe 文件路径:C:\\windows\\system32\\HBCONQUER.dll 触发规则:所有程序规则->文件阻止及保护->?:\\.dll 2008-09-30 20:18:53 创建文件进程路径:F:\\Once\\12\\12.exe 文件路径:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\HBCONQUER.dll 触发规则:所有程序规则->Documents and Settings->?:\\Documents and Settings\\.dll 创建文件进程路径:F:\\Once\\12\\12.exe 文件路径:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\HBSelfDel.dll 触发规则:所有程序规则->Documents and Settings->?:\\Documents and Settings\\.dll 释放exe 创建文件* 进程路径:F:\\Once\\12\\12.exe 文件路径:C:\\windows\\system32\\System.exe 触发规则:所有程序规则->文件阻止及保护->?:\\.exe 调用rundll32 运行应用程序* 进程路径:F:\\Once\\12\\12.exe 文件路径:C:\\WINDOWS\\system32\\rundll32.exe 命令行:C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\HBSelfDel.dll,MagicDelete F:\\Once\\12\\12.exe 触发规则:所有程序规则->阻止运行->%windir%\\* rundll32加载病毒dll 加载库文件进程路径:C:\\WINDOWS\\system32\\rundll32.exe 文件路径:C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\HBSelfDel.dll 触发规则:所有程序规则->阻止运行->?:\\Documents and Settings\\\\Local Settings\\Temp\\ 调用exe 运行应用程序进程路径:F:\\Once\\12\\12.exe 文件路径:C:\\WINDOWS\\system32\\System.exe 触发规则:所有程序规则->阻止运行->%windir%\\* 安装钩子安装全局钩子进程路径:C:\\WINDOWS\\system32\\System.exe 文件路径:HBmhly.dll,HB1000Y.dll,HBWOOOL.dll,HBXY2.dll,HBJXSJ.dll,HBSO2.dll,HBFS2.dll,HBXY3.dll,HBSHQ.dll,HBFY.dll,HBWULIN2.dll,HBW2I.dll,HBKDXY.dll,HBWORLD2.dll,HBASKTAO.dll,HBZHUXIAN.dll,HBWOW.dll,HBZERO.dll,HBBO.dll,HBCONQUER.dll,HBSOUL.dll,HBCHIBI.dll,HBDNF.dll,HBWARLORDS.dll,HBTL.dll,HBPICKCHINA.dll,HBCT.dll,HBGC.dll,HBHM.dll,HBHX2.dll,HBQQHX.dll,HBTW2.dll,HBQQSG.dll,HBQQFFO.dll,HBZT.dll,HBMIR2.dll,HBRXJH.dll,HBYY.dll,HBMXD.dll,HBSQ.dll,HBTJ.dll,HBFHZL.dll,HBWLQX.dll,HBLYFX.dll,HBR2.dll,HBCHD.dll,HBTZ.dll,HBQQXX.dll,HBWD.dll,HBZG.dll,HBPPBL.dll,HBXMJ.dll,HBJTLQ.dll,HBQJSJ.dll 钩子类型:WH_JOURNALRECORD 触发规则:所有程序规则->* 安装全局钩子进程路径:C:\\WINDOWS\\system32\\System.exe 文件路径:C:\\windows\\system32\\HBCONQUER.dll 钩子类型:WH_MOUSE 触发规则:所有程序规则->阻止运行->%windir%\\* 病毒特征下载并运行的木马很多，还会修改主页，并且通过一些技术来保护主页不被用户或其它软件再次修改，以达到长期占有的目的。主页改完又接着大量安装插件了。伪装QQ系统消息进行钓鱼。开机大量弹出广告窗口，占用大量系统资源。解决办法中了蝗虫军团后.木马生成启动项system.exe和一个恶意驱动.在系统进程中加载大量dll.监视DLL组件是否被调用，如果发现不存在(发现被关闭掉)则重新调用，达到自我保护的目的和躲避安全软件主动防御和监控等，达到自我保护的目的。通过调用“sfc_os.dll”来躲避系统“Windows 文件保护”功能对“C:\\WINDOWS\\system32\\rpcss.dll”文件的监视保护.病毒会下载大量木马．给用户处理带来难度。用户查杀后容易导致无法复制、粘贴、任务栏出现异常。主要是rpc服务没有启动。此病毒会替换系统文件userinit.exe rpcss.dll。下面是简单的处理方法。每个人的情况不同，应根据诊断报告做出不同的处理。 1、结束userinit.exe进程。从光盘中解压出此文件，放在C:\\WINDOWS\\system32\\下面。rpcss.dll也可以从光盘中解压放在C:\\WINDOWS\\system32\\下面。或是找到C:\\WINDOWS\\system32\\srpcss.dll或是C:\\WINDOWS\\system32\\spcss.dll。将其改名为rpcss.dll。主要是病毒用“MoveFileExA”将其移动这两处。 2、首先删除病毒文件“C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\路径下的文件。 3、做好以上步骤后。根据诊断报告中反映的情况粉碎病毒加载的模块。使用工具可以上网下载。 4、重启后，暂时不要上网。打开注册表，找到把注册表“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\rpcss\\ObjectName”键值改为“NT AUTHORITY\etworkService”。（提升该DLL所在的服务的权限，把原权限“NT AUTHORITY\etworkService”提升为系统最高权限“LocalSystem”） 5、显示隐藏文件，把C:\\WINDOWS\\system32\\下面可疑的，具有隐藏属性的文件找到后删除掉。不熟悉的可以上网搜索一下。数字加字母后缀名为cfg的要删除掉。 6、下载Dr.Web CureIt到桌面杀毒 7、重新启动计算机系统，系统杀毒完毕，系统重新启动后就可以上网了，粘贴功能有效了，同时任务栏的显示也正常了。 8、有不少网友反映查杀后,只要一上QQ就会重新下载这些病毒.请检查一一QQ安装目录x:\\Program Files\\Tencent\\QQ\\PSAPI.DLL有无这个文件.请删除掉。病毒总结 “蝗虫军团”是一个很邪恶的下载者，其下载的木马数量之多，涉及方面之广，手段之恶劣，已经达到令人发指的程度。并具有自我更新，U盘传播，大有赶超“机器狗”和“磁碟机”之势。请大家擦亮双眼，把这邪恶的“蝗虫军团”请出系统吧。最后，再复述一下清除“蝗虫军团”的要点： 1．下载最新版的木马专杀大全或杀毒软件，断开网络进行查杀。 2．使用360安全卫士或杀毒软件进行木马的查杀和恶评插件的查杀。 3．经常使用360安全卫士并修复系统漏洞。 4．安装好防火墙。
随便看	浩毕斯嘎拉图浩博方山境浩博天地浩布勒图嘎查村浩仓浩辰CAD2011 浩辰CAD电力2011 浩辰CAD电气2011 浩辰CAD给排水2011 浩辰CAD建筑2011 浩辰CAD结构2011 浩辰CAD暖通2011 浩辰ICAD2008i 浩辰ICAD平台及建筑软件操作指南浩初浩达防水浩达公寓浩大工程：墨西哥卡洪水坝浩大商城浩大天浩荡江湖浩荡两千年：中国企业公元前7世纪-1869年浩德集团浩尔波士浩方盗号木马73728