扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
病毒名称:Trojan-Downloader.Win32.Aqent.bbb
病毒分类:木马下载器
病毒分析:
该病毒会从特定的网站自动下载黑客程序并执行。卡巴司基不能清除。通过对该病毒多个案例的分析,我总结出以下两点:
1、该病毒文件采用随机命名方式,给一般用户的手工查杀带来一定的困难;
2、该病毒只添加service(服务和驱动),不添加run启动项.
因此,对于Trojan-Downloader.Win32.Aqent.bbb病毒,只需要查看SRE日志中的服务和驱动部分即可找出病毒文件,然后作出相应处理.
如何从SRE日志中查找该病毒并作出相应处理?
下面以一个真实的案例来说明此问题.
案例来源:http://bbs.360safe.com/viewthread.php?tid=93489&extra=page%3D1
以下是这份SRE日志中的服务和驱动部分,红色字体为注释:
====================================================================
服务
[卡巴斯基反病毒6.0 / AVP]
<"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r><Kaspersky Lab>
[File Replication / File Replication]
<C:\WINDOWS\system32\ntfis.exe><N/A>-------------------(病毒文件)
[Human Interface Device Access / HidServ]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[Event Service / Tech]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\nnsdm.dll><Microsoft Corporation>-------------------(病毒文件)
====================================================================
驱动程序
[ADProt / ADProt]
<\SystemRoot\system32\drivers\ADProt.sys><腾讯科技(深圳)有限公司>
[Service for WDM 3D Audio Driver / ALCXSENS]
<system32\drivers\ALCXSENS.SYS><Sensaura>
[Service for Realtek AC97 Audio (WDM) / ALCXWDM]
<system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
[aphz / aphzg]
<\SystemRoot\System32\DRIVERS\aphzg.sys><N/A>-------------------(病毒文件)
[BaseTDI / BaseTDI]
<2 - 系统找不到指定的文件。><N/A>-------------------(病毒文件)
[heqetf3 / heqetf38]
<\SystemRoot\System32\DRIVERS\heqetf38.sys><N/A>-------------------(病毒文件)
[kl1 / kl1]
<\SystemRoot\system32\drivers\kl1.sys><Kaspersky Lab>
[klif / klif]
<\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
[ncio / ncio]
<system32\DRIVERS\ncio.sys><N/A>-------------------(病毒文件)
[npkycryp / npkycryp]
<\??\D:\QQ\npkycryp.sys><N/A>-------------------(病毒文件)
[nv / nv]
<system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[Direct Parallel Link Driver / Ptilink]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[RsAntiSpyware / RsAntiSpyware]
<\SystemRoot\system32\drivers\RsBoot.sys><Beijing Rising>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139]
<system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv]
<system32\DRIVERS\secdrv.sys><N/A>
[vwwyoi5 / vwwyoi50]
<\SystemRoot\System32\DRIVERS\vwwyoi50.sys><N/A>-------------------(病毒文件)
[wcnagie / wcnagie]
<\SystemRoot\system32\drivers\wcnagie.sys><>-------------------(病毒文件)
====================================================================
【日志分析方法】
日志中有一个特殊的符号<N/A>,凡是后面有<N/A>的文件都是可疑文件(大多为病毒文件,但不是绝对的),用百度搜索该文件,如果有相关信息表明该文件为病毒文件或者搜索不到任何信息,则认为该文件为病毒文件,找到病毒文件后先用unlocker删除该文件,然后用SRE删除该病毒文件所对应的服务或驱动项即可.
【重要提示】
1、服务中的hidserv.dll和驱动中的secdrv.sys常常不能被SRE识别.但事实上这两个都是系统文件,请勿删除!
2、特别要注意日志中的缩主程序svchost.exe,该程序是用来调用dll文件的,这常常被病毒利用.所以在日志中看到dll文件就要留心,遇到自己不清楚的,就用百度搜索相关信息.只需要删除dll文件,svchost.exe是系统重要文件,不可删除!
________________________________________________________
根据以上日志分析方法,得出针对该案例的解决办法如下:
1、关闭系统还原(Win2000系统可以忽略):右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
清除IE的临时文件:打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。
2、显示“受保护的操作系统文件”
使用unlocker删除以下文件(如果有的话):
C:\windows\system32\nnsdm.dll
C:\WINDOWS\system32\ntfis.exe
C:\WINDOWS\system32\vwwyoi50.dll
C:\WINDOWS\system32\drivers\aphzg.sys
C:\WINDOWS\System32\DRIVERS\heqetf38.sys
C:\WINDOWS\system32\drivers\ncio.sys
C:\WINDOWS\system32\drivers\vwwyoi50.sys
C:\WINDOWS\system32\drivers\wcnagie.sys
3、用SRE删除以下服务(如果有的话):
File Replication / File Replication
Event Service / Tech
4、用SRE删除以下驱动(如果有的话):
aphz / aphzg
BaseTDI / BaseTDI
heqetf3 / heqetf38
ncio / ncio
vwwyoi5 / vwwyoi50
wcnagie / wcnagie
5、重启计算机,全盘杀毒。病毒清除完毕。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者
京公网安备 11010802021500号