Trojan-Downloader.Win32.Agent.qtx釋放NtfdDisk.sys文件到%SystemRoot%System32 driver文件夾下,創建服務加載驅動,利用磁盤驅動技術穿透還原卡保護。此惡意程序會下載并運行30多個惡意程序,這些惡意程序主要用來盜取用戶游戲賬號。超級巡警團隊提醒廣大用戶,要經常使用超級巡警進行全盤掃描,以保證系統不受惡意程序困擾。
一、病毒相關分析:
病毒標簽:
病毒名稱:Trojan-Downloader.Win32.Agent.qtx
病毒別名:機器狗變種
病毒類型:木馬下載者
危害級別:3
感染平臺:Windows
病毒大小:14,508(字節)
SHA1 :6DF4B5001073C10DC2B8E97A032A29525E9FBB42
加殼類型:Upack
病毒行為:
1、病毒運行以后釋放文件:
%SystemDrive%rmeslf.bat
%SystemDrive%mahtesf.bat
%System32%driversNtfdDisk.sys
%SystemRoot%ctfmon.exe
2、添加注冊表創建名為NtfdDisk的服務、加載驅動并刪除驅動文件 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNtfdDisk]
3、利用釋放的BAT文件,刪除病毒釋放到各個文件下的文件
4、下載文件:http://jqm.htitm***.cn/1.txt
根據該文件下載并運行以下文件
http://xxx.dfasdaqwd.cn/***/aa1.exe
http://xxx.dfasdaqwd.cn/***/aa2.exe
http://xxx.dfasdaqwd.cn/***/aa3.exe
http://xxx.dfasdaqwd.cn/***/aa4.exe
http://xxx.dfasdaqwd.cn/***/aa5.exe
http://xxx.dfasdaqwd.cn/***/aa6.exe
http://xxx.dfasdaqwd.cn/***/aa7.exe
http://xxx.dfasdaqwd.cn/***/aa8.exe
http://111.dfasdaqwd.cn/***/aa9.exe
http://111.dfasdaqwd.cn/***/aa10.exe
http://111.dfasdaqwd.cn/***/aa11.exe
http://111.dfasdaqwd.cn/***/aa12.exe
http://111.dfasdaqwd.cn/***/aa13.exe
http://111.dfasdaqwd.cn/***/aa14.exe
http://111.dfasdaqwd.cn/***/aa15.exe
http://222.dfasdaqwd.cn/
共有條評論
