病毒相关分析
Trojan-Downloader.Win32.Agent.mkj释放Phyhd.sys文件到%SystemRoot%\System32\driver文件夹下,并向正常的exlorer.exe文件写入数据,造成用户的explorer.exe进程崩溃,并利用磁盘驱动技术穿透还原卡保护。此恶意程序会下载并运行30多个恶意程序,这些恶意程序主要用来盗取用户游戏账号。超级巡警团队提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Downloader.Win32.Agent.mkj
病毒别名:机器狗变种
病毒类型:木马下载者
危害级别:3
感染平台:Windows
病毒大小:30,496(字节)
SHA1 :70290312EFD7A3A1D9FBCE33E7B31CB98C05C373
加壳类型:Upack
病毒行为:
1、病毒运行以后释放文件:
%SystemDrive%\emsf.bat
%SystemDrive%\emsf1.bat
%SystemDrive%\emsf3.bat
%SystemDrive%\tempdat.dat
%SystemDrive%\Upack.exe
%System32%\drivers\Phyhd.sys
%SystemRoot%\ctfmon.exe
%SystemRoot%\temp.dat
2、添加注册表创建名为Phyhd的服务、加载驱动并删除驱动文件 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Phyhd]
3、添加注册表允许代理
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=DWORD:00000000
[HKEY_CURRENT_CONFIG\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=DWORD:00000000
修改注册表将代理设置为可用
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MigrateProxy"=DWORD:00000000-->"MigrateProxy"=DWORD:00000001
4、利用释放的BAT文件,删除病毒释放到各个文件下的文件
emsf.bat:
:Repeat1
del "C:\WINDOWS\ctfmon.exe"
if exist "C:\WINDOWS\ctfmon.exe" goto Repeat1
cd C:\
del %0
emsf1.bat:
c:\Upack.exe c:\tempdat.dat
del %0
emsf3.bat:
:Repeat1
del "%CurrentPath%\bak.exe"
if exist "%CurrentPath%\bak.exe" goto Repeat1
cd C:\
del %0
网友评论