您的位置:首页网络冲浪安全资讯 → 小心“潜行者”木马组团入侵电脑

小心“潜行者”木马组团入侵电脑

时间:2008/11/10 10:00:00来源:本站整理作者:我要评论(0)

超级巡警团队监测到恶意程序“Trojan-Downloader.Win32.agent.alce”(“潜行者”),该病毒是利用MS08-067漏洞下载并执行的木马程序,病毒的主要功能是盗取用户信息、密码。此外,“潜行者”还会偷偷的批量下载其他木马和病毒,一同协作攻陷系统安全防线。超级巡警建议用户及时更新微软补丁,并提醒广大用户及时更新病毒库,对该程序进行有效查杀。

一、病毒相关分析:
   病毒标签:
   病毒名称:Trojan-Downloader.Win32.agent.alce
   中文名:  潜行者
   病毒类型:木马
   危害级别:3
   感染平台:Windows
   病毒大小:397,312字节
   SHA1 :  A6C21166CD8D09D24FEFC10BBE896A231D14C564
   加壳类型:无壳
   开发工具:Microsoft C++

   病毒行为:
   1、病毒运行以后释放其他病毒文件。
    %System%wbemsysmgr.dll
    %Temp% <随机名>.bat

   2、添加注册表服务相关键值,使病毒随windows启动时加载。
    HKLMSYSTEMCurrentControlSetServicessysmgr
     HKLMSYSTEMCurrentControlSetServicessysmgrParametersServiceDll = "%System%wbemsysmgr.dll"
     HKLMSYSTEMCurrentControlSetServicessysmgrParametersServiceMain = "ServiceMainFunc"
     HKLMSYSTEMCurrentControlSetServicessysmgrDisplayName = "System Maintenance Service"
     HKLMSYSTEMCurrentControlSetServicessysmgrImagePath = "%SystemRoot%System32svchost.exe -k sysmgr"

   3、收集用户计算机信息、盗取用户密码、检查注册表HKLMSOFTWARE键是否有以下子键BitDefender、Jiangmin、KasperskyLab、Kingsoft、Symantec、rising、TrendMicro,来判断计算机是否安装反病毒软件,并将这些信息发送到IP:59.106.145.58。
  
   4、尝试链接IP地址:59.106.145.58,并下载后缀为.CAB的文件,保存到%System%initproc02x.cab下,cab文件解压之后产生4个病毒文件。
      winbase.dll
      winbaseInst.exe
      basesvc.dll
      syicon.dll
   5、链接网络,下载病毒。
      59.106.145.58/n1.exe
      59.106.145.58/n2.exe
      59.106.145.58/n3.exe
      59.106.145.58/n4.exe
      59.106.145.58/n5.exe
      59.106.145.58/n6.exe
      59.106.145.58/n7.exe
      59.106.145.58/n8.exe
      59.106.145.58/n9.exe

二、解决方案
     推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
     超级巡警下载地址超级巡警装机 http://www.pc6.com/SoftView/SoftView_17803.html

     手工清除方法:
1、删除病毒生成的文件。
      %System%wbemsysmgr.dll
      %Temp%<随机名>.bat
      2、删除病毒添加的注册表项。
    HKLMSYSTEMCurrentControlSetServicessysmgr
    HKLMSYSTEMCurrentControlSetServicessysmgrParametersServiceDll = "%System%wbemsysmgr.dll"
    HKLMSYSTEMCurrentControlSetServicessysmgrParametersServiceMain = "ServiceMainFunc"
    HKLMSYSTEMCurrentControlSetServicessysmgrDisplayName = "System Maintenance Service"
    HKLMSYSTEMCurrentControlSetServicessysmgrImagePath = "%SystemRoot%System32svchost.exe -k sysmgr"
三、安全建议
  1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
  2、禁用不必要的服务。
   3、不要随便打开不明来历的电子邮件,尤其是邮件附件。
   4、不要随意下载不安全网站的文件并运行。
 &nbs

相关视频

    没有数据

相关阅读 魔兽世界8.0潜行者艾泽里特护甲特质索引列表 潜行者艾泽里特特质王者荣耀一鹿上王者第9期潜行者兰陵王视频地址自由之战2潜行者匕首怎么样 自由之战2潜行者匕首装备图鉴地下城堡2潜行者转职什么好 地下城堡2潜行者转职详解孤岛危机3潜行者干扰器打法技巧了不起的修仙模拟器神秘修行者怎么杀 了不起的修仙模拟器神秘修行被哪吒攻击会降低自身回血效果要非常小心 王者荣耀夫子的进阶试炼微信欢乐烧脑游戏第103关 小心水花

文章评论
发表评论

热门文章 设置高强度密码技巧之

最新文章 360连回家是什么 360wifi密码怎么设置才不 电信级的RSA加密后的密码的破解方法范海辛的惊奇之旅分辨率修改方法eset nod32 最新用户名和密码 eset nod32 最关于近期PC6遭受DDOS攻击声明

人气排行 盗号者的常用盗号方法最新瑞星升级助手v7.1.5及防杀方法wifi密码怎么设置才不会被破解?wifi防蹭网网站Tags标签对网站关键词排名的意义eset nod32 最新用户名和密码 eset nod32 最网站导航栏设计趋势目前最新的计算机病毒有哪些如何彻底删除QQ医生