Trojan-Downloader.Win32.Flux.ff(lm.exe)病毒分析

超级巡警团队监测到恶意程序Trojan-Downloader.Win32.Flux.ff频繁更新，该恶意程序会根据下载的配置文件去下载最新的其他恶意程序，而被下载的恶意程序仍会下载大量恶意程序，使受害者系统内的恶意程序几何上涨，给手工查杀造成很大困难。超级巡警团队提醒广大用户，更新最新的病毒库，绝杀连环木马群。

　　一、病毒相关分析：

　　病毒标签：

　　病毒名称：Trojan-Downloader.Win32.Flux.ff

　　病毒类型：木马下载者

　　危害级别：3

　　感染平台：Windows

　　病毒大小：19,215(字节)

　　SHA1　　：3eaf25253597868ae57a13927591208a0854af2d

　　加壳类型：Upack

　　开发工具：Visual C++ 6.0

　　病毒行为：

　　1、文件运行后，将自己以随机八位十六制数重命名，并复制到system32目录：

　　%System%\随机十六制数.EXE 19,215(字节)

　　%System%\随机十六制数.dll 69,632(字节)

　　2、将生成的EXE文件以八位随机十六制数为服务名注册为系统服务

　　3、将生成的DLL文件注入到系统中所有进程

　　4、下载文件http://lm.9cdn.com/*****/update.txt，如图：

　　

　　

　　

　　程序会根据以上配置文件下载相关恶意程序，该程序与前一阵的AV终结者相似，都使用八位的随机数，但是此程序的　　　　　 主程序并不会对安全工具进行映像劫持。它下载的其他恶意程序中才会对安全工具进行映像劫持。

　　二、解决方案

　　推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。

　　超级巡警下载地址：http://www.dswlab.com/d1.html

　　三、安全建议

　　1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。

　　2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。

　　3、使用超级巡警的补丁检查功能，及时安装系统补丁。

　　4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设置为可写或可控制。

　　5、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。

　　6、禁用不必要的服务。

　　7、及时更新常用软件，尤其是聊天工具。

　　8、不要使用IE内核的浏览器。

　　9、不要随便打开不明来历的电子邮件，尤其是邮件附件。

　　10、不要随意下载不安全网站的文件并运行。

　　注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中该变

　　量指%Windir%\System32。其它：

　　%SystemDrive% 　　 　　 系统安装的磁盘分区

　　%SystemRoot% = %Windir% 　　WINDODWS系统目录

　　%ProgramFiles%　 　 　　　　应用程序默认安装目录

　　%AppData% 　　 　　 应用程序数据目录

　　%CommonProgramFiles%　　 公用文件目录

　　%HomePath% 　　 　　 当前活动用户目录

　　%Temp% =%Tmp% 　　 　　 当前活动用户临时目录

　　%DriveLetter% 　　 　　 逻辑驱动器分区

　　%HomeDrive% 　　　 　　 当前用户系统所在分区