該病毒為第五代機器狗,可穿透還原系統(tǒng),使還原系統(tǒng)失效。巡警團隊在捕獲該樣本后,對樣本進行了分析。該病毒運行后釋放一個tmp文件到臨時文件夾下,該文件實際上是驅(qū)動文件,可以使主動防御和還原系統(tǒng)失效,修改系統(tǒng)時間,對安全軟件進行映像劫持,鏈接網(wǎng)絡(luò)下載病毒,嚴重的干擾了用戶使用計算機并威脅用戶計算機系統(tǒng)安全。超級巡警提醒廣大用戶,要經(jīng)常使用超級巡警進行全盤掃描,以保證系統(tǒng)不受惡意程序困擾。
一、病毒相關(guān)分析:
病毒標(biāo)簽:
病毒名稱:Worm.Win32.Downloader.pu
病毒類型:第五代機器狗
危害級別:5
感染平臺:Windows
病毒大小:36,792字節(jié)
SHA1 : D38CF55F30A15EDD9C11F66DECA70FB1D364C74F
加殼類型:WinUpack
開發(fā)工具:Microsoft Visual C++
病毒行為:
1、病毒運行以后釋放文件,該文件加載之后被自刪除:
%Temp%~wxp2ins.171.tmp(隨機名)
2、遍歷當(dāng)前進程,如發(fā)現(xiàn)avp.exe進程,就調(diào)用SetSystemTime函數(shù)將系統(tǒng)時間修改為2001,使衍生文件的創(chuàng)建時間都為2001年,衍生病毒文件不容易被用戶察覺。
3、添加注冊表映像劫持,導(dǎo)致用戶運行安全軟件,實際運行的是病毒程序,被劫持的安全軟件如下:
360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、
ati2evxx.exe、autoruns.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、
CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、FTCleanerShell.exe、
HijackThis.exe、IceSword.exe、idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、
KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、
KAVSetup.exe、KAVStart.exe、kavsvc.exe、KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、
KMFilter.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRegEx.exe、KRepair.com、KsLoader.exe、
KVCenter.kxp、KvDetect.exe、KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、
KvReport.kxp、KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、KVwsc.exe、kwatch.e
共有條評論
