Trojan.Win32.Runner.bh(System.exe、winsawids.sys)分析與解決方案

       超級(jí)巡警團(tuán)隊(duì)監(jiān)測(cè)到惡意程序Trojan.Win32.Runner.bh，該病毒為木馬程序，運(yùn)行后釋放并下載大量盜號(hào)木馬，關(guān)閉360保險(xiǎn)箱的監(jiān)控，使360保險(xiǎn)箱失效，盜號(hào)木馬盜取用戶(hù)游戲賬號(hào)，給用戶(hù)的財(cái)產(chǎn)帶來(lái)?yè)p失。超級(jí)巡警建議用戶(hù)使用超級(jí)巡警保險(xiǎn)箱來(lái)保證游戲賬號(hào)的安全，同時(shí)提醒廣大用戶(hù)及時(shí)更新病毒庫(kù)，對(duì)該程序進(jìn)行有效查殺。

 

一、病毒相關(guān)分析：
       病毒標(biāo)簽：
          病毒名稱(chēng)：Trojan.Win32.Runner.bh
          病毒類(lèi)型：木馬
          危害級(jí)別：3
          感染平臺(tái)：Windows
          病毒大小：35,328 字節(jié)
          SHA1　：  A342F41A75CD1347664093C5FB53782623B95DB3
          加殼類(lèi)型：UPX
          開(kāi)發(fā)工具：Microsoft Visual C++

 

       病毒行為：
          1、病毒運(yùn)行以后釋放其他病毒文件。
               %system%driverswinsawids.sys
               %Temp%309657(隨即名)
               %system%System.exe

 
          2、遍歷進(jìn)程，如果存在kavstart.exe、safeboxtray、360Tray進(jìn)程，就將其結(jié)束。

 

          3、添加注冊(cè)表服務(wù)相關(guān)鍵值，使病毒隨windows啟動(dòng)時(shí)加載。
               HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
               值："System.exe"
               HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows
               注冊(cè)表項(xiàng)：AppInit_DLLs
               值：  HBmhly.dll、HBWOW.dll、HBJTLQ.dll、HBTL.dll、HBDNF.dll、HBQQXX.dll

 

          4、添加注冊(cè)表服務(wù)相關(guān)鍵值，加載驅(qū)動(dòng)，并創(chuàng)建一個(gè)名為"\.Delkil"的設(shè)備與驅(qū)動(dòng)文件交互。
               HKLMSYSTEMCurrentControlSetServicesKisstusb
               路徑："%system%driverswinsawids.sys"

 
          5、將DLL文件(盜號(hào)木馬)注入explorer.exe、system.exe等進(jìn)程。

 

          6、下載文件：hxxp://www.oi***.net/ko.txt
               根據(jù)該文件下載并運(yùn)行以下文件
               hxxp://61.164.118.***/new/new1.exe
               hxxp://61.164.118.***/new/new2.exe
               hxxp://61.164.118.***/new/new3.exe
               hxxp://61.164.118.***/new/new4.exe
               hxxp://61.164.118.***/new/