小心“潜行者”木马组团入侵电脑

小心“潜行者”木马组团入侵电脑

2008/11/10 10:00:00来源:本站整理作者:我要评论(0)

超级巡警团队监测到恶意程序“Trojan-Downloader.Win32.agent.alce”(“潜行者”),该病毒是利用MS08-067漏洞下载并执行的木马程序,病毒的主要功能是盗取用户信息、密码。此外,“潜行者”还会偷偷的批量下载其他木马和病毒,一同协作攻陷系统安全防线。超级巡警建议用户及时更新微软补丁,并提醒广大用户及时更新病毒库,对该程序进行有效查杀。

一、病毒相关分析:
   病毒标签:
   病毒名称:Trojan-Downloader.Win32.agent.alce
   中文名:  潜行者
   病毒类型:木马
   危害级别:3
   感染平台:Windows
   病毒大小:397,312字节
   SHA1 :  A6C21166CD8D09D24FEFC10BBE896A231D14C564
   加壳类型:无壳
   开发工具:Microsoft C++

   病毒行为:
   1、病毒运行以后释放其他病毒文件。
    %System%wbemsysmgr.dll
    %Temp% <随机名>.bat

   2、添加注册表服务相关键值,使病毒随windows启动时加载。
    HKLMSYSTEMCurrentControlSetServicessysmgr
     HKLMSYSTEMCurrentControlSetServicessysmgrParametersServiceDll = "%System%wbemsysmgr.dll"
     HKLMSYSTEMCurrentControlSetServicessysmgrParametersServiceMain = "ServiceMainFunc"
     HKLMSYSTEMCurrentControlSetServicessysmgrDisplayName = "System Maintenance Service"
     HKLMSYSTEMCurrentControlSetServicessysmgrImagePath = "%SystemRoot%System32svchost.exe -k sysmgr"

   3、收集用户计算机信息、盗取用户密码、检查注册表HKLMSOFTWARE键是否有以下子键BitDefender、Jiangmin、KasperskyLab、Kingsoft、Symantec、rising、TrendMicro,来判断计算机是否安装反病毒软件,并将这些信息发送到IP:59.106.145.58。
  
   4、尝试链接IP地址:59.106.145.58,并下载后缀为.CAB的文件,保存到%System%initproc02x.cab下,cab文件解压之后产生4个病毒文件。
      winbase.dll
      winbaseInst.exe
      basesvc.dll
      syicon.dll
   5、链接网络,下载病毒。
      59.106.145.58/n1.exe
      59.106.145.58/n2.exe
      59.106.145.58/n3.exe
      59.106.145.58/n4.exe
      59.106.145.58/n5.exe
      59.106.145.58/n6.exe
      59.106.145.58/n7.exe
      59.106.145.58/n8.exe
      59.106.145.58/n9.exe

二、解决方案
     推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
     超级巡警下载地址超级巡警装机 http://www.pc6.com/SoftView/SoftView_17803.html

     手工清除方法:
1、删除病毒生成的文件。
      %System%wbemsysmgr.dll
      %Temp%<随机名>.bat
      2、删除病毒添加的注册表项。
    HKLMSYSTEMCurrentControlSetServicessysmgr
    HKLMSYSTEMCurrentControlSetServicessysmgrParametersServiceDll = "%System%wbemsysmgr.dll"
    HKLMSYSTEMCurrentControlSetServicessysmgrParametersServiceMain = "ServiceMainFunc"
    HKLMSYSTEMCurrentControlSetServicessysmgrDisplayName = "System Maintenance Service"
    HKLMSYSTEMCurrentControlSetServicessysmgrImagePath = "%SystemRoot%System32svchost.exe -k sysmgr"
三、安全建议
  1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
  2、禁用不必要的服务。
   3、不要随便打开不明来历的电子邮件,尤其是邮件附件。
   4、不要随意下载不安全网站的文件并运行。
 &nbs

阅读本文后您有什么感想? 已有 人给出评价!

  • 0 囧
      囧
  • 0 恶心
      恶心
  • 0 期待
      期待
  • 0
      难过
  • 0 不错
      不错
  • 0 关注
      关注
  • 最新评论
  • 热门评论
共有评论(0)条 查看全部评论
高兴 可 汗 我不要 害羞 好 下下下 送花 屎 亲亲

注:您的评论需要经过审核才会显示出来