病毒相关分析
超级巡警团队监测到恶意程序Trojan-Downloader.Win32.Agent.asxl(Nskhelper2.sys)该病毒为木马下载者,屏蔽安全厂商网站,使安全软件失效,同时下载带有偷盗游戏账号的木马,并将这些信息回传到指定网站,使用户的财产遭受损失,超级巡警建议用户使用超级巡警保险箱来保证游戏账号的安全。同时提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Downloader.Win32.Agent.asxl
病毒类型:木马下载者
危害级别:3
感染平台:Windows
病毒大小:30,208字节
SHA1 : 4E42182D85388152E8FEAF45899D1652ADABB9E5
加壳类型:UPX
开发工具:ASM
病毒行为:
1、病毒运行以后释放病毒文件,文件名为随机产生,释放文件之后将自身删除。
%SystemDrive%\autorun.inf
%SystemDrive%\system.dll
%Temp%\868421(随机名)
%Temp%\dll31.dll(随机名)
%System%\appwinproc.dll
%System%\Nskhelper2.sys
%System%\System.exe
%DriveLetter%\autorun.inf
%DriveLetter%\system.dll
%Temp%\317343.txt(随机名)
%Temp%\323343.txt(随机名)
%Temp%\329359.txt(随机名)
%Temp%\335359.txt(随机名)
%Temp%\341375.txt(随机名)
%Temp%\347515.txt(随机名)
%Temp%\353625.txt(随机名)
%Temp%\359593.txt(随机名)
%Temp%\365593.txt(随机名)
%Temp%\377593.txt(随机名)
%Temp%\371593.txt(随机名)
%Temp%\383750.txt(随机名)
%Temp%\389843.txt(随机名)
%Temp%\395812.txt(随机名)
2、运行批处理文件Temp\854250.bat(随机名)删除病毒自身。
3、修改host文件,屏蔽超级巡警及其他一些安全厂商的站点:
rising.com.cn
dl.jiangmin.com
jiangmin.com
shadu.duba.net
union.kingsoft.com
kaspersky.com.cn
virustotal.com
bbs.sucop.com
tool.ikaka.com
360.qihoo.com
网友评论