病毒分析
该病毒运行后释放副本和其他病毒文件到%system%文件夹下,添加注册表创建服务,删除安全模式,破坏用户磁盘中的exe文件,被破坏的文件不能被修复。超级巡警团队提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Dropper.Win32.Agent.rcgTrojan-Dropper.Win32.Agent.rcg
病毒类型:木马
危害级别:5
感染平台:Windows
病毒大小:57,344(字节)
SHA1 :0D40C453E837B4D143535CD77E4240CBA9AD8220
加壳类型:无壳
开发工具:Windows MFC
病毒行为:
1、下载的病毒运行后释放文件
%system%\12520438.cpx
%system%\SWEAMBR.exe(随机名)
%system%\LZ8IZB57V53.txt(随机名)
%system%\W8NB71BWQR.com(随机名)
%SystemDrive%\W8NB71BWQR.com(随机名)
2、添加注册表创建名为C55AM、SWEAMBR的服务
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\C55AM3]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SWEAMBR]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\C55AM3]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SWEAMBR]
删除注册表的安全模式
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}]
3、破坏除了%SystemDrive%目录以外的exe文件,破坏后无法修复。
网友评论