科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道黑客木马下载器Win32.Troj.DownLoader.se.1367552

黑客木马下载器Win32.Troj.DownLoader.se.1367552

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

该木马运行后,读取资源,释放病毒文件1sass.exe到%WINDOWSt%\system\目录,并立即启动该文件。然后创建一个批处理文件删除自己的原始文件,让用户以后即便发现电脑异常也找不到毒源。

作者:zdnet安全频道 来源:论坛整理 2008年6月23日

关键字: 下载器 木马 黑客

  • 评论
  • 分享微博
  • 分享邮件

黑客木马下载器 Win32.Troj.DownLoader.se.1367552

该木马运行后,读取资源,释放病毒文件1sass.exe到%WINDOWSt%\system\目录,并立即启动该文件。然后创建一个批处理文件删除自己的原始文件,让用户以后即便发现电脑异常也找不到毒源。
随后,病毒将1sass.exe以系统服务的名义添加到系统注册表中,骗过用户的注意,同时让自己实现开机自动运行之目的。
如果病毒服务得以启动,它会连接黑客网站http://nb.******.com/list.txt下载一份记录有病毒列表的文本文件,根据该列表中的网址下载其它的木马到用户电脑上运行。经过分析,发现被下载的木马是一个远程控制软件,如果该木马被顺利安装,黑客就可以完全控制用户的电脑,进行任何他想要的操作。

“土著下载者546816”(Win32.Troj.Unknown.b.546816)  

这是一个由下载者生成器生成的下载者程序。当它出现在用户电脑中后,会将病毒文件789.exe和cmdno.exe释放到系统盘的%WINDOWS%\system32\目录下。然后修改注册表,将自己的相关数据添加到启动项中,这样以后每次用户启动电脑时,它都能跟着自动运行起来。其启动项名称为relinson,这可作为查找该病毒的一个依据。
当病毒运行后,它创建一个名为Windows_ServerUP1的系统服务,自动连接木马种植者指定的远程地址http://www.o***ok365.com/,下载一份病毒地址列表,然后根据列表中的地址下载更多其它病毒到用户电脑中运行,引起更多无法预计的破坏。
这类用生成器生成的木马病毒多见于网吧等公共场所中的电脑,因此用户使用公用电脑时也需提高警惕。

“覆盖者下载器997376”(Win32.Troj.DownLoaderT.ib.997376)  

此病毒潜入系统后,立即覆盖感染系统桌面进程explorer.exe,这样,以后每次电脑重启时,它都能跟着explorer.exe的进程一起运行起来。
病毒运行起来后,会创建线程,查找Windows系统中的“Windows文件保护”窗口,并隐藏该窗口,使得用户无法对自己得文件进行有效保护。接着就迅速在用户无法知晓的情况下建立远程连接,从http://baidu****.com/这个由木马种植者指定得地址下载一个名为list.txt的文本文件。
这个文本文件其实是一份病毒下载列表,此病毒会读取里面得地址,下载更多其它病毒到用户电脑里运行,引起无法估计的更大破坏。同时,由于是采取覆盖感染的方式,修复难度较大,目前大部份的杀毒软件在修复其感染文件时,都无法彻底修复。

动物家园计算机安全咨询中心反病毒工程师建议:

1、从其他网站下载的软件或者文件,打开前一定要注意检查下是否带有病毒。
  
2、别轻易打开陌生人邮件及邮件附件、连接等。

3、用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。

4、尽量把系统帐号密码设置强壮点,勿用空密码或者过于简单。

5、发现异常情况,请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询.

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章