Trojan-Downloader.Win32.Agent.mkj释放Phyhd.sys文件到%SystemRoot%\System32\ driver文件夹下,并向正常的exlorer.exe文件写入数据,造成用户的explorer.exe进程崩溃,并利用磁盘驱动技术穿透还原卡保护。此恶意程序会下载并运行30多个恶意程序,这些恶意程序主要用来盗取用户游戏账号。超级巡警团队提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。 |
|
|
一、病毒相关分析: |
| |
病毒标签:
病毒名称:Trojan-Downloader.Win32.Agent.mkj
病毒别名:机器狗变种
病毒类型:木马下载者
危害级别:3
感染平台:Windows
病毒大小:30,496(字节)
SHA1 :70290312EFD7A3A1D9FBCE33E7B31CB98C05C373
加壳类型:Upack
|
|
|
病毒行为:
1、病毒运行以后释放文件:
%SystemDrive%\emsf.bat
%SystemDrive%\emsf1.bat
%SystemDrive%\emsf3.bat
%SystemDrive%\tempdat.dat
%SystemDrive%\Upack.exe
%System32%\drivers\Phyhd.sys
%SystemRoot%\ctfmon.exe
%SystemRoot%\temp.dat
2、添加注册表创建名为Phyhd的服务、加载驱动并删除驱动文件 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Phyhd]
3、添加注册表允许代理
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=DWORD:00000000
[HKEY_CURRENT_CONFIG\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=DWORD:00000000
修改注册表将代理设置为可用
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MigrateProxy"=DWORD:00000000-->"MigrateProxy"=DWORD:00000001
4、利用释放的BAT文件,删除病毒释放到各个文件下的文件
emsf.bat:
:Repeat1
del "C:\WINDOWS\ctfmon.exe"
if exist "C:\WINDOWS\ctfmon.exe" goto Repeat1
cd C:\
del %0
emsf1.bat:
c:\Upack.exe c:\tempdat.dat
del %0
emsf3.bat:
:Repeat1
del "%CurrentPath%\bak.exe"
if exist "%CurrentPath%\bak.exe" goto Repeat1
cd C:\
del %0
5、下载文件:http://z1.us-2.net/aaa.txt
根据该文件下载并运行以下文件
http://aa1.1a2b3c1.com/*****/1.exe
http://aa1.1a2b3c1.com/*****/2.exe
http://aa1.1a2b3c1.com/*****/3.exe
http://aa1.1a2b3c1.com/*****/4.exe
http://aa1.1a2b3c1.com/*****/5.exe
http://aa1.1a2b3c1.com/*****/6.exe
http://aa1.1a2b3c1.com/*****/7.exe
http://aa1.1a2b3c1.com/*****/8.exe
http://aa1.1a2b3c1.com/*****/9.exe
http://aa1.1a2b3c1.com/*****/10.exe
http://aa2.1a2b3c1.com/*****/11.exe
http://aa2.1a2b3c1.com/*****/12.exe
http://aa2.1a2b3c1.com/*****/13.exe
http://aa2.1a2b3c1.com/*****/14.exe
http://aa2.1a2b3c1.com/*****/15.exe
http://aa2.1a2b3c1.com/*****/16.exe
http://aa2.1a2b3c1.com/*****/17.exe
http://aa2.1a2b3c1.com/*****/18.exe
http://aa2.1a2b3c1.com/*****/19.exe【链接失效】
http://aa2.1a2b3c1.com/*****/20.exe
http://aa3.1a2b3c1.com/*****/21.exe
http://aa3.1a2b3c1.com/*****/22.exe
http://aa3.1a2b3c1.com/*****/23.exe【链接失效】
http://aa3.1a2b3c1.com/*****/24.exe
http://aa3.1a2b3c1.com/*****/25.exe
http://aa3.1a2b3c1.com/*****/26.exe
http://aa3.1a2b3c1.com/*****/27.exe
http://aa3.1a2b3c1.com/*****/28.exe
http://aa3.1a2b3c1.com/*****/29.exe
http://aa3.1a2b3c1.com/*****/30.exe
http://aa3.1a2b3c1.com/*****/31.exe
http://aa3.1a2b3c1.com/*****/32.exe
http://aa3.1a2b3c1.com/*****/33.exe
http://aa3.1a2b3c1.com/*****/34.exe
http://aa3.1a2b3c1.com/*****/35.exe【链接失效】
http://60.190.***.***/080405.exe
6、修改explore.exe,使用户对任务栏的操作失效
7、利用磁盘驱动技术,穿透还原卡保护
|
|
|
二、解决方案 |
|
推荐方案:
下载超级巡警机器狗专杀工具,查杀病毒。
下载地址:http://www.dswlab.com/d2.html |
|
手工清除方法:
1、结束explorer.exe进程,拷贝%SystemRoot%\dllcache文件夹下的explorer.exe覆盖%SystemRoot%文件夹下的 explorer.exe
2、删除病毒生成的文件:
%SystemRoot%\temp.dat
3、删除病毒添加的注册表: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=DWORD:00000000
[HKEY_CURRENT_CONFIG\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=DWORD:00000000
|
|
三、安全建议 |
|
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、不要随便打开不明来历的电子邮件,尤其是邮件附件。
7、不要轻易打开即时通讯工具中发来的链接或可执行文件。
8、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。 |
| |
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区 |
