监测到恶意程序
超级巡警团队监测到恶意程序Trojan.Win32.AD.sq正在传播,该病毒运行后创建病毒文件,屏蔽任务管理器以及对病毒文件的右键属性功能,并导致用户无法浏览图片等,自动打开大量广告网页及黄色网站,严重影响用户电脑的运行速度和网速。超级巡警提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan.Win32.AD.sq
病毒类型:木马类
危害级别:3
感染平台:Windows
病毒大小:69,632 字节
S H A 1 :f902318c15115b28a6cb5a241985790829a6c108
加壳类型:无壳
开发工具:Microsoft Visual C++ 6.0
病毒行为:
1、该病毒运行后创建并运行以下病毒文件:
%Windir%\DLECOQ.bat
%Windir%\E3CO3VEIF.exe(名称随机,大小69,632 字节)
%ProgramFiles%\KVBTR.exe(名称随机,大小32,768 字节)
%ProgramFiles%\QZVBEJX654OV.bat(名称随机,大小1,377 字节)
%ProgramFiles%\8YMF8GZRLVG(文件夹名称随机)
%ProgramFiles%\8YMF8GZRLVG\RCD6T2RJ4P.exe(名称随机,大小69,632 字节)
2、调用命令解释程序运行生成的如下文件:
%ProgramFiles%\QZVBEJX654OV.bat(名称随机,大小1,377 字节)
文件执行完毕后,删除自身。
3、设置病毒文件属性为:只读,隐藏,系统。
4、创建启动类型为自动的Windows服务:sc.exe create XAC4OT4CD
显示名称:3YF2X7J6(名称随机)
5、解除以下服务,方便下载木马等:
regsvr32.exe /u /s shimgvw.dll :导致用户无法浏览图片照片等
regsvr32.exe /u /s itss.dll :导致用户无法打开CHM/ITS格式文件
regsvr32.exe /u /s scrrun.dll:利于基于FSO组件的ASP木马的下载执行
regsvr32.exe /u /s vbscript.dll:反注册Vbscript.dll,让某些网页无法浏览
regsvr32.exe /s jscript.dll:注册jscript.dll,不管成功与否均不显示提示框
6、添加以下注册表项来修改internet选项设置:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Play_Background_Sounds /t REG_SZ /d no
:禁止播放HTML中的背景音乐
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Play_Animations /t REG_SZ /d no
:禁止播放网页中的动画
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Display Inline Videos /t REG_SZ /d no
:禁止下载视频
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Display Inline Images /t REG_SZ /d yes
:可以显示图像
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\DisableScriptDebuggerIE /t REG_SZ /d yes
:禁用IE中Script错误报告
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Disable Script Debugger /t REG_SZ /d yes
:禁止脚本调试
7、删除以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
8、删除系统盘Windows下Media文件夹内的所有文件:
del %Windir%\Media\*.* /Q
9、利用FindWindow屏蔽任务管理器以及对病毒文件的右键属性功能。
网友评论