科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Worm.Win32.Downloader.pu(第五代机器狗)分析与解决方案

Worm.Win32.Downloader.pu(第五代机器狗)分析与解决方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

该病毒为第五代机器狗,可穿透还原系统,使还原系统失效。巡警团队在捕获该样本后,对样本进行了分析。该病毒运行后释放一个tmp文件到临时文件夹下,该文件实际上是驱动文件

来源:论坛整理 2008年10月29日

关键字: 安全防范 病毒资料 病毒查杀

  • 评论
  • 分享微博
  • 分享邮件
该病毒为第五代机器狗,可穿透还原系统,使还原系统失效。巡警团队在捕获该样本后,对样本进行了分析。该病毒运行后释放一个tmp文件到临时文件夹下,该文件实际上是驱动文件,可以使主动防御和还原系统失效,修改系统时间,对安全软件进行映像劫持,链接网络下载病毒,严重的干扰了用户使用计算机并威胁用户计算机系统安全。超级巡警提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。

一、病毒相关分析:
        病毒标签:
               病毒名称:Worm.Win32.Downloader.pu
               病毒类型:第五代机器狗
               危害级别:5
               感染平台:Windows
               病毒大小:36,792字节
               SHA1 :  D38CF55F30A15EDD9C11F66DECA70FB1D364C74F
               加壳类型:WinUpack
               开发工具:Microsoft Visual C++

        病毒行为:
               1、病毒运行以后释放文件,该文件加载之后被自删除:
                    %Temp%\~wxp2ins.171.tmp(随机名)

               2、遍历当前进程,如发现avp.exe进程,就调用SetSystemTime函数将系统时间修改为2001,使衍生文件的创建时间都为2001年,衍生病毒文件不容易被用户察觉。

               3、添加注册表映像劫持,导致用户运行安全软件,实际运行的是病毒程序,被劫持的安全软件如下:
                    360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、
                    ati2evxx.exe、autoruns.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、
                    CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、FTCleanerShell.exe、
                    HijackThis.exe、IceSword.exe、idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、
                    KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、
                    KAVSetup.exe、KAVStart.exe、kavsvc.exe、KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、
                    KMFilter.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRegEx.exe、KRepair.com、KsLoader.exe、
                    KVCenter.kxp、KvDetect.exe、KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、
                    KvReport.kxp、KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、KVwsc.exe、kwatch.exe、
                    KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、navapsvc.exe、
                    Navapw32.exe、nod32krn.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、PFW.exe、
                    PFWLiveUpdate.exe、procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、QQsc.exe、Ras.exe、
                    rav.exe、RAVmon.exe、RAVmonD.exe、ravstub.exe、ravtask.exe、ravtimer.exe、ravtool.exe、
                    RegClean.exe、regtool.exe、rfwmain.exe、rfwproxy.exe、FYFireWall.exe、rfwsrv.exe、rfwstub.exe、
                    rising.exe、Rsaupd.exe、runiep.exe、safebank.exe、safeboxtray.exe、safelive.exe、scan32.exe、
                    shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、
                    Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、
                    UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、webscanx.exe、WinDbg.exe、WoptiClean.exe

              4、创建进程svchost.exe,然后将恶意代码写入进程。

              5、添加注册表项,创建服务加载驱动,驱动的作用是使主动防御和还原保护失效。

              6、下载病毒文件,文件列表可更新:
                    http://www.dfhtn.cn/baibai.txt[链接已失效]
                    http://www.recgt.cn/google.exe[链接已失效]


二、解决方案

       推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
       超级巡警下载地址:http://www.sucop.com/download/16.html
       手工清除方法:
              1、结束病毒进程。打开超级巡警ToolsLoader.exe工具(此工具在超级巡警安装目录下),选择进程管理功能,终止svchost.exe进程。
              2、修复安全模式启动/映象劫持。打开超级巡警,点安全优化,选择系统修复,选中修复安全模式启动/映象劫持,修复即可。

三、安全建议
       1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
       2、禁用不必要的服务。
       3、不要随便打开不明来历的电子邮件,尤其是邮件附件。
       4、不要随意下载不安全网站的文件并运行。
       5、下载和新拷贝的文件要首先进行查毒。
       6、不要轻易打开即时通讯工具中发来的链接或可执行文件。
       7、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章