病毒相关分析
超级巡警团队监测到恶意程序Trojan-Downloader.Win32.Agent.asxl(Nskhelper2.sys)该病毒为木马下载者,屏蔽安全厂商网站,使安全软件失效,同时下载带有偷盗游戏账号的木马,并将这些信息回传到指定网站,使用户的财产遭受损失,超级巡警建议用户使用超级巡警保险箱来保证游戏账号的安全。同时提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Downloader.Win32.Agent.asxl
病毒类型:木马下载者
危害级别:3
感染平台:Windows
病毒大小:30,208字节
SHA1 : 4E42182D85388152E8FEAF45899D1652ADABB9E5
加壳类型:UPX
开发工具:ASM
病毒行为:
1、病毒运行以后释放病毒文件,文件名为随机产生,释放文件之后将自身删除。
%SystemDrive%\autorun.inf
%SystemDrive%\system.dll
%Temp%\868421(随机名)
%Temp%\dll31.dll(随机名)
%System%\appwinproc.dll
%System%\Nskhelper2.sys
%System%\System.exe
%DriveLetter%\autorun.inf
%DriveLetter%\system.dll
%Temp%\317343.txt(随机名)
%Temp%\323343.txt(随机名)
%Temp%\329359.txt(随机名)
%Temp%\335359.txt(随机名)
%Temp%\341375.txt(随机名)
%Temp%\347515.txt(随机名)
%Temp%\353625.txt(随机名)
%Temp%\359593.txt(随机名)
%Temp%\365593.txt(随机名)
%Temp%\377593.txt(随机名)
%Temp%\371593.txt(随机名)
%Temp%\383750.txt(随机名)
%Temp%\389843.txt(随机名)
%Temp%\395812.txt(随机名)
2、运行批处理文件Temp\854250.bat(随机名)删除病毒自身。
3、修改host文件,屏蔽超级巡警及其他一些安全厂商的站点:
rising.com.cn
dl.jiangmin.com
jiangmin.com
shadu.duba.net
union.kingsoft.com
kaspersky.com.cn
virustotal.com
bbs.sucop.com
tool.ikaka.com
360.qihoo.com
添加注册表映像劫持
4、添加注册表映像劫持,导致用户运行安全软件,实际运行的是病毒程序,被劫持的安全软件如下:
360safe.exe、360safebox.exe、360tray.exe、ACKWIN32.exe、anti.exe、
ANTI-TROJAN.exe、antivir.exe、APVXDWIN.exe、atrack.exe、AUTODOWN.exe、
AVCONSOL.exe、AVE32.exe、AVGCTRL.exe、avk.exe、AVKSERV.exe、avp.exe、
AVPUPD.exe、AVSCHED32.exe、avsynmgr.exe、AVWIN95.exe、avxonsol.exe、
BLACKD.exe、BLACKICE.exe、CCenter.exe、CFIADMIN.exe、CFIAUDIT.exe、
CFIND.exe、cfinet.exe、cfinet32.exe、CLAW95.exe、CLAW95CT.exe、CLEANER.exe、
CLEANER3.exe、DAVPFW.exe、dbg.exe、debu.exe、DV95.exe、DV95_O.exe、
DVP95.exe、ECENGINE.exe、EFINET32.exe、ESAFE.exe、ESPWATCH.exe、
explorewclass.exe、F-AGNT95.exe、FINDVIRU.exe、fir.exe、F-PROT.exe、
f-prot95.exe、fp-win.exe、FRW.exe、f-stopw.exe、IAMAPP.exe、IAMSERV.exe、
IBMASN.exe、IBMA、ICMOON.exe、ICSSUPPNT.exe、iom.exe、iomon98.exe、
JED.exe、Kabackreport.exe、Kasmain.exe、kav32.exe、kavstart.exe、kissvc.exe、
KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRF.exe、KVMonXP.exe、KVPreScan.exe、
kwatch.exe、lamapp.exe、lockdown2000.exe、LOOKOUT.exe、luall.exe、
LUCOMSERVER.exe、mcafee.exe、microsoft.exe、mon.exe、moniker.exe、
MOOLIVE.exe、MPFTRAY.exe、ms.exe、N32ACAN.exe、navapsvc.exe、
navapw32.exe、NAVLU32.exe、NAVNT.exe、navrunr.exe、NAVSCHED.exe、
NAVW.exe、NAVW32.exe、navwnt.exe、nisserv.exe、nisum.exe、NMAIN.exe、
NORMIST.exe、norton.exe、NUPGRADE.exe、NVC95.exe、office.exe、OUTPOST.exe、
PADMIN.exe、PAVCL.exe、pcc.exe、PCCClient.exe、pccguide.exe、pcciomon.exe、
pccmain.exe、pccwin98.exe、PCFWALLICON.exe、PERSFW.exe、pop3trap.exe、
PpPpWallRun.exe、program.exe、prot.exe、pview95.exe、ras.exe、Rav.exe、
RAV7.exe、rav7win.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、
regedit.exe、rescue32.exe、Rfw.exe、rn.exe、safeboxTray.exe、safeweb.exe、
scam32.exe、scan.exe、SCAN32.exe、SCANPM.exe、scon.exe、SCRSCAN.exe、
secu.exe、SERV95.exe、sirc32.exe、SMC.exe、smtpsvc.exe、SPHINX.exe、spy.exe、
SWEEP95.exe、symproxysvc.exe、TBSCAN.exe、TCA.exe、TDS2-98.exe、
TDS2-NT.exe、Tmntsrv.exe、TMOAgent.exe、tmproxy.exe、tmupdito.exe、TSC.exe、
UlibCfg.exe、vavrunr.exe、VET95.exe、VETTRAY.exe、vir.exe、VPC32.exe、
VSECOMR.exe、vshwin32.exe、VSSCAN40、vsstat.exe、WEBSCAN.exe、
WEBSCANX.exe、webtrap.exe、WFINDV32.exe、windows优化大师.exe、wink.exe、
zonealarm.exe
5、添加注册表项,创建服务加载驱动,并在该键下,添加子键,驱动的作用是使主动防御和还原保护失效。
注册表键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NsRk1
子键:"DisplayName"、"ErrorControl"、"ImagePath"、"Start"、"Type"
注册表键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NsRk1\Enum
子键:"0"、"Count"、"NextInstance"
注册表键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NsRk1\Security
子键:"Security"
6、将以下DLL文件(盗号木马)注入explorer.exe、system.exe等进程,监控消息队列和鼠标消息盗取用户的信息: appwinproc.dll、HBmhly.dll、HBmhly.dll、HBWOW.dll、HBDNF.dll、HBQQSG.dll、HBYY.dll、HBLYFX.dll、HBQQXX.dll、HBWD.dll、HBJTLQ.dll、HBJXSJ.dll、HBSHQ.dll、HBASKTAO.dll、HBCHIBI.dll、HBTW2.dll、DFB3DAC5.dll、DA63E650.dll、D7C79813.dll、9CA963CA.dll、4D023DE9.dll、201476D0.dll、198FF3D8.dll、122B901E.dll、4506AD31.dll、3D144530.dll、2EF0D734.dll、DFEC5CB7.dll、01AFE3DC.dll、Sys_NtMe.Zys、
7、创建进程快照,遍历当前进程中是否存在以下进程,调用IsDebuggerPresent来判断当前是否是被调试状态,满足上述条件就结束病毒进程。"OllyDbg.exe"、"OllyICE.exe"、"PEditor.exe"、"LordPE.exe"、"C32Asm.exe"、"ImportREC.exe"
8、下载病毒列表:hxxp://txt.50nb.com/**date/count.txt,并下载运行列表中的盗号木马。
手工清除方法
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:点击下载
手工清除方法:
1、结束病毒进程。打开超级巡警ToolsLoader.exe工具(此工具在超级巡警安装目录下),选择进程管理功能,终止system.exe病毒进程。
2、删除病毒生成的文件。
%SystemDrive%\autorun.inf
%SystemDrive%\system.dll
%Temp%\868421(随机名)
%Temp%\dll31.dll(随机名)
%System%\appwinproc.dll
%System%\Nskhelper2.sys
%System%\System.exe
%DriveLetter%\autorun.inf
%DriveLetter%\system.dll
%Temp%\317343.txt(随机名)
%Temp%\323343.txt(随机名)
%Temp%\329359.txt(随机名)
%Temp%\335359.txt(随机名)
%Temp%\341375.txt(随机名)
%Temp%\347515.txt(随机名)
%Temp%\353625.txt(随机名)
%Temp%\359593.txt(随机名)
%Temp%\365593.txt(随机名)
%Temp%\377593.txt(随机名)
%Temp%\371593.txt(随机名)
%Temp%\383750.txt(随机名)
%Temp%\389843.txt(随机名)
%Temp%\395812.txt(随机名)
3、删除病毒添加的注册表项及其相关子键。
注册表键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NsRk1
子键:"DisplayName"、"ErrorControl"、"ImagePath"、"Start"、"Type"
注册表键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NsRk1\Enum
子键:"0"、"Count"、"NextInstance"
注册表键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NsRk1\Security
子键:"Security"
4、修复host文件。打开超级巡警,选择上网-->恶意网站屏蔽-->查看host文件功能,将host文件改为127.0.0.1 localhost。
安全建议
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、禁用不必要的服务。
3、不要随便打开不明来历的电子邮件,尤其是邮件附件。
4、不要随意下载不安全网站的文件并运行。
5、下载和新拷贝的文件要首先进行查毒。
6、不要轻易打开即时通讯工具中发来的链接或可执行文件。
7、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,
在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% 系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
网友评论