超级巡警团队监测到恶意程序Trojan.Drop.Geral.NA.1正在传播,该病毒运行后,衍生病毒文件到系统目录下;添加注册表随机启动项以随机引导病毒体。超级巡警建议用户使用超级巡警来防御查杀此类木马。同时提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan.Drop.Geral.NA.1
病毒类型:木马类
危害级别:2
感染平台:Windows
病毒大小:39,944 字节
S H A 1 :582AC22590D9AEBF5199AFF30BF3D52BCA442D5C
加壳类型:upx
开发工具:delphi
病毒行为:
1、释放以下驱动到%windir%system32\drivers并加载
AsyncMac.sys
pcidump.sys
2、释放xxxxxxxxxxx.dll(随机名)到%temp%下,安装全局钓子注入系统所有进程
3、释放xxxxxxtest.dll(随机名)到%windir%下并使用rundll32.dll运行
4、释放extextXXXXXXt.exe(随机名)到%windir%下并运行
5、映像劫持各大杀软的主程序,阻止杀毒软件的运行 Ras.exe,Rav.exe,RavMon.exe,RavMonD.exe,RavStub.exe,RavTask.exe,RegClean.exe,rfwcfg.exe,RfwMain.exe,rfwProxy.exe,rfwsrv.exe,RsAgent.exe,Rsaupd.exe,runiep.exe,safelive.exe,scan32.exe,shcfg32.exe,SmartUp.exe,SREng.exe,symlcsvc.exe,SysSafe.exe,TrojanDetector.exe,Trojanwall.exe,TrojDie.kxp,UIHost.exe,UmxAgent.exe,UmxAttachment.exe,UmxCfg.exe,UmxFwHlp.exe,UmxPol.exe,UpLive.exe,WoptiClean.exe,xsweep.exe,Syscheck2.exe,findt25.exe,SREngPS.exe,smartassistant.exe,rfwolusr.exe,AutoGuarder.exe,arvmon.exe,ravt8.exe,killhidepid.exe,kvfw.exe,syscheck.exe,IsHelp.exe,RavStore.exe,ToolsUp.exe,RavCopy.exe,36safebox.exe,safebank.exe,
safeboxTray.exe,36hotfix.exe,AntiArp.exe,RsMain.exe,RSTray.exe,ScanFrm.exe,rsnetsvr.exe
6、将卡巴斯基主程序映像为svchost.exe,并设置svchost.exe的随机启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
数值名称:""
类型:REG_SZ
数值数据:C:\windows\system32\svchost.exe
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:点击下载
手工清除方法:
1、结束病毒进程:
extextXXXXXXt.exe
2、使用超级巡警工具箱卸载以下驱动:
AsyncMac.sys
pcidump.sys
3、删除生成的以下病毒文件,并清空%temp%临时文件:
%windir%system32\drivers\AsyncMac.sys
%windir%system32\drivers\pcidump.sys
%windir%\xxxxxxtest.dll (随机名)
%windir%\extextXXXXXXt.exe (随机名)
4、使用超级巡警删除svchost启动项。
5、使用超级巡警修复被木马映象劫持的所有项。
6、重启电脑。
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设 置为可写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
8、不要使用IE内核的浏览器。
9、不要随便打开不明来历的电子邮件,尤其是邮件附件。
10、不要随意下载不安全网站的文件并运行。
11、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
网友评论