这是一个木马下载器。该毒具有对抗安全软件的能力,在执行下载任务前会先关闭用户系统中的杀毒软件。根据毒霸反病毒工程师的检查,该毒很可能是国外病毒工作室的产品。
1. 得到本地的mac地址等相关信息,发送到以下网址,然后从网址下载病毒到本地缓存中
http://74.*0.1*7.165/confirm.php?aid=%lu&said=%lu&mac=%s&mn=%lu
http://64.*47.*9.247/confirm.php?aid=%lu&said=%lu&mac=%s&mn=%lu
http://74.*0.1*7.159/confirm.php?aid=%lu&said=%lu&mac=%s&mn=%lu
2. 枚举当前的进程,若是有以下安全软件,将其关闭,从以下杀软来看,这是一个国外的下载者,针对的安全软件国内很少人使用
SysCleaner.exe
PCPC_Setup_Free.exe
xpc.exe
TheSpyBot.exe
Win-X-Defender.exe
OnlineGuard.exe
SpyShredder.exe
WinAntivirusPro.exe
MalwareAlarm.exe
PrivacyRedeemer.exe
WinReanimator.exe
XPSecurityCenter
SpyGuarder.exe
AntiMalwareGuard_Free
XPSecurityCenter.exe
WinAntiSpyware2008
WinReanimator
pgs.exe
pcpc.exe
xpa.exe
WinAntiSpyware2008.exe
SystemDefender.exe
antvrs.exe
Winspywareprotect.exe
PCPC_Setup_Free
GDCW.exe
AntiMalwareGuard_Free.exe
GDC.exe
3. 随机选定以下的一个网址下载到本地的Temp目录下其对应的文件名,并运行
http://dwl.a****8dl.com/uexe/d100526.exe ————> lwpwer.exe
http://89.1*9.2*6.54/outsc/1053/2/install.exe ————> sfsrv.exe
http://91.2*3.9*.25/hvhakrb/15.exe ————> vistasp1.exe
http://91.2*3.9*.25/hvha/4683lt.exe ————> stl_orig.exe
http://91.2*3.9*.25/hvhaex/WJUob2HVd5.exe ————> vistasp.exe
http://193.*3.6*.169/cntr.gif?a=152174 ————> bindsrv2.exe
http://91.2*3.9*.25/hvha123/ex32de.exe ————> scksexde.exe
4. 从http://viac***cright2.com/s1265.php下载.bat文件到Temp目录,并运行
5. 自删除