超級巡警團隊監測到惡意程序Trojan-GameThief.Win32.OnLineGames.tags“盜賊”會修改系統文件debug.exet和taskmgr.exe;通過直接讀寫磁盤來穿透還原軟件(類似機器狗),破壞十分嚴重;還會下載其他大量惡意程序,盜取用戶敏感信息。超級巡警團隊提醒廣大用戶及時更新病毒庫,對該程序進行有效查殺。
一、病毒相關分析:
病毒標簽:
病毒名稱:Trojan-GameThief.Win32.OnLineGames.tags
病毒類型:木馬
危害級別:3
感染平臺:Windows
病毒大小:15,956(字節)
S H A 1 :b7628789c87f07c1574cc9c0828edb87e5dceeac
加殼類型:UPack
開發工具:Microsoft Visual C++
病毒行為:
1、釋放文件:
%Windir%*.exe //*為四位隨機字母
%System%driversntkapi.sys
修改文件:
%System%dllcachetaskmgr.exe
2、加載驅動文件ntkapi.sys,直接讀寫磁盤;
用惡意代碼直接寫入文件%System%debug.exe。
2、程序*.exe執行后,會停止服務:ekrn、NOD32krn;
調用taskkill.exe終止以下進程:
ekrn.exe、egui.exe、nod32krn.exe、nod32kui.exe。
3、通過連接www.google.cn和www.baidu.com來測試是否處于聯網狀態;
1、釋放文件:
%Windir%*.exe //*為四位隨機字母
%System%driversntkapi.sys
修改文件:
%System%dllcachetaskmgr.exe
2、加載驅動文件ntkapi.sys,直接讀寫磁盤;
用惡意代碼直接寫入文件%System%debug.exe。
2、程序*.exe執行后,會停止服務:ekrn、NOD32krn;
調用taskkill.exe終止以下進程:
ekrn.exe、egui.exe、nod32krn.exe、nod32kui.exe。
3、通過連接www.google.cn和www.baidu.com來測試是否處于聯網狀態;
如果可以訪問網絡,則下載并執行以下文件:
http://111.*****.net/cao/aa1.exe
http://111.*****.net/cao/aa2.exe
http://111.*****.net/cao/aa3.exe
http://111.*****.net/cao/aa4.exe
http://111.*****.net/cao/aa5.exe
http://111.*****.net/cao/aa6.exe
http://111.*****.net/cao/aa7.exe
http://111.*****.net/cao/aa8.exe
http://222.*****.net/cao/aa9.exe
http://222.*****.net/cao/aa10.exe
http://222.*****.net/cao/aa11.exe
http://222.*****.net/cao/aa12.exe
http://222.*****.net/cao/aa13.exe
http://222.*****.net/cao/aa14.exe
http://222.*****.net/cao/aa15.exe
相關文章
共有條評論
