病毒相关分析
Trojan-Downloader.Win32.Agent.qtx释放NtfdDisk.sys文件到%SystemRoot%System32 driver文件夹下,创建服务加载驱动,利用磁盘驱动技术穿透还原卡保护。此恶意程序会下载并运行30多个恶意程序,这些恶意程序主要用来盗取用户游戏账号。超级巡警团队提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Downloader.Win32.Agent.qtx
病毒别名:机器狗变种
病毒类型:木马下载者
危害级别:3
感染平台:Windows
病毒大小:14,508(字节)
SHA1 :6DF4B5001073C10DC2B8E97A032A29525E9FBB42
加壳类型:Upack
病毒行为:
1、病毒运行以后释放文件:
%SystemDrive%rmeslf.bat
%SystemDrive%mahtesf.bat
%System32%driversNtfdDisk.sys
%SystemRoot%ctfmon.exe
2、添加注册表创建名为NtfdDisk的服务、加载驱动并删除驱动文件[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNtfdDisk]
病毒行为
3、利用释放的BAT文件,删除病毒释放到各个文件下的文件
4、下载文件:http://jqm.htitm***.cn/1.txt
根据该文件下载并运行以下文件
http://xxx.dfasdaqwd.cn/***/aa1.exe
http://xxx.dfasdaqwd.cn/***/aa2.exe
http://xxx.dfasdaqwd.cn/***/aa3.exe
http://xxx.dfasdaqwd.cn/***/aa4.exe
http://xxx.dfasdaqwd.cn/***/aa5.exe
http://xxx.dfasdaqwd.cn/***/aa6.exe
http://xxx.dfasdaqwd.cn/***/aa7.exe
http://xxx.dfasdaqwd.cn/***/aa8.exe
http://111.dfasdaqwd.cn/***/aa9.exe
http://111.dfasdaqwd.cn/***/aa10.exe
http://111.dfasdaqwd.cn/***/aa11.exe
http://111.dfasdaqwd.cn/***/aa12.exe
http://111.dfasdaqwd.cn/***/aa13.exe
http://111.dfasdaqwd.cn/***/aa14.exe
http://111.dfasdaqwd.cn/***/aa15.exe
http://222.dfasdaqwd.cn/***/aa16.exe
http://222.dfasdaqwd.cn/***/aa17.exe
http://222.dfasdaqwd.cn/***/aa18.exe
http://222.dfasdaqwd.cn/***/aa19.exe
http://222.dfasdaqwd.cn/***/aa20.exe
http://222.dfasdaqwd.cn/***/aa21.exe
http://222.dfasdaqwd.cn/***/aa22.exe
http://333.dfasdaqwd.cn/***/aa23.exe
http://333.dfasdaqwd.cn/***/aa24.exe
http://333.dfasdaqwd.cn/***/aa25.exe【链接已失效】
http://333.dfasdaqwd.cn/***/aa26.exe【链接已失效】
http://333.dfasdaqwd.cn/***/aa27.exe【链接已失效】
http://333.dfasdaqwd.cn/***/aa28.exe【链接已失效】
http://444.dfasdaqwd.cn/***/aa29.exe【链接已失效】
http://444.dfasdaqwd.cn/***/aa30.exe【链接已失效】
http://444.dfasdaqwd.cn/***/aa31.exe【链接已失效】
http://444.dfasdaqwd.cn/***/aa32.exe
http://444.dfasdaqwd.cn/***/aa33.exe【链接已失效】
http://444.dfasdaqwd.cn/***/aa34.exe【链接已失效】
http://444.dfasdaqwd.cn/***/aa35.exe【链接已失效】
5、利用磁盘驱动技术,穿透还原卡保护
推荐方案
二、解决方案
推荐方案:
下载超级巡警机器狗专杀工具,查杀病毒。
下载地址:http://download.pchome.net/utility/antivirus/trojan/detail-81071.html
手工清除方法:
1、删除病毒下载的文件:
%Temporary Internet Files%aa(*).exe
2、删除病毒添加的注册表:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNtfdDisk]
注:*为1-35的数字
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、不要随便打开不明来历的电子邮件,尤其是邮件附件。
7、不要轻易打开即时通讯工具中发来的链接或可执行文件。
8、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
网友评论