以下是超級巡警團隊給出的病毒分析報告和解決方案:
一、病毒相關(guān)分析:
病毒標簽:
病毒名稱:Trojan.Win32.Runner.bu
病毒別名:網(wǎng)吧俠盜
病毒類型:木馬
危害級別:3
感染平臺:Windows
病毒大小:35,328 字節(jié)
SHA1 : 2D11BC6A0EA27FF88EC09658605E659D2DA11D5C
加殼類型:UPX
開發(fā)工具:Microsoft Visual C++
病毒行為:
1、病毒運行以后釋放其他病毒文件。
%system%driverswinsawids.sys
%Temp%394547(隨即名)
%Temp%477595(隨即名)
%Temp%666143(隨即名)
%Temp%732660(隨即名)
%Temp%773708(隨即名)
%Temp%827974(隨即名)
%Temp%1035428(隨即名)
%Temp%1148086(隨即名)
%Temp%1322321(隨即名)
%system%System.exe
2、遍歷進程,如果存在kavstart.exe、safeboxtray、360Tray進程,就將其結(jié)束。
3、添加注冊表服務(wù)相關(guān)鍵值,使病毒隨windows啟動時加載。
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
值:"System.exe"
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows
注冊表項:AppInit_DLLs
值: HBmhly.dll、HBWOW.dll、HBJTLQ.dll、HBTL.dll、HBDNF.dll、HBQQXX.dll
4、添加注冊表服務(wù)相關(guān)鍵值,加載驅(qū)動,并創(chuàng)建一個名為".Delkil"的設(shè)備與驅(qū)動文件交互
HKLMSYSTEMCurrentCo
病毒標簽:
病毒名稱:Trojan.Win32.Runner.bu
病毒別名:網(wǎng)吧俠盜
病毒類型:木馬
危害級別:3
感染平臺:Windows
病毒大小:35,328 字節(jié)
SHA1 : 2D11BC6A0EA27FF88EC09658605E659D2DA11D5C
加殼類型:UPX
開發(fā)工具:Microsoft Visual C++
病毒行為:
1、病毒運行以后釋放其他病毒文件。
%system%driverswinsawids.sys
%Temp%394547(隨即名)
%Temp%477595(隨即名)
%Temp%666143(隨即名)
%Temp%732660(隨即名)
%Temp%773708(隨即名)
%Temp%827974(隨即名)
%Temp%1035428(隨即名)
%Temp%1148086(隨即名)
%Temp%1322321(隨即名)
%system%System.exe
2、遍歷進程,如果存在kavstart.exe、safeboxtray、360Tray進程,就將其結(jié)束。
3、添加注冊表服務(wù)相關(guān)鍵值,使病毒隨windows啟動時加載。
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
值:"System.exe"
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows
注冊表項:AppInit_DLLs
值: HBmhly.dll、HBWOW.dll、HBJTLQ.dll、HBTL.dll、HBDNF.dll、HBQQXX.dll
4、添加注冊表服務(wù)相關(guān)鍵值,加載驅(qū)動,并創(chuàng)建一個名為".Delkil"的設(shè)備與驅(qū)動文件交互
HKLMSYSTEMCurrentCo
相關(guān)文章
共有條評論
