科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道最新病毒分析报告最新病毒分析报告

最新病毒分析报告最新病毒分析报告

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹,并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至 {随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。

来源:论坛整理 2008年10月29日

关键字: 安全防范 病毒资料 病毒查杀

  • 评论
  • 分享微博
  • 分享邮件
1.Win32.Troj.PcClient.a.688128
毒霸07.11.28.18版本即可查杀。

病毒名称(中文):黑客遥控器
威胁级别:★☆☆☆☆
病毒类型:黑客程序
病毒长度:688128
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:
引用:
这是一个黑客程序变种。病毒运行后释放随机文件名病毒文件至系统文件夹,并通过修改注册表添加系统服务rtltvb以开机自启动。病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至 {随机文件名}.pro。病毒还尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下。

    (1)病毒释放文件,然后使用DeleteFileA删除自身
    %sys32dir%\0004bb58.inf
    %sys32dir%\{随机文件名}.dll(如byhfjm.dll)
    %sys32dir%\{随机文件名}.KEY(如byhfjm.KEY)
    %sys32dir%\{随机文件名}.sco(如byhfjm.sco)
    %sys32dir%\drivers\{随机文件名}.sys(如byhfjm.sys)

    (2)病毒增加注册项
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost rtltvb rtltvb
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RTLTVB
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rtltvb

    (3)病毒尝试添加一个系统服务rtltvb
    服务名:rtltvb
    描述:Microsoft .NET Framework TPM
    显示名称:rtltvb
    映像路径:%sys32dir%\svchost.exe -k rtltvb
    启动类型:自动

    (4)病毒尝试读取以下两个注册表ProxyEnable和ProxyServer键值来获取用户代理服务器地址,并记录至{随机文件名}.pro(如byhfjm.pro)
    "Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyEnable 1"
    "Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyServer {代理地址}"

    (5)病毒尝试在后台创建多个线程与远程服务器通讯,接受黑客的指令,使得用户的计算机完全处于黑客的控制之下
    0**205.k**p.net(2**.2*7.17.2*6)
2.Win32.Adware.Ejik.il.654848
这是一个广告软件,升级到金山毒霸08.07.09.10版本可以查杀

3.Win32.Adware.ADLoad.y.122880
这是一个广告软件,毒霸06.10.27.10版本可以查杀,老病毒重出江湖只能是木马下载器的功劳。
查毒日志类似于
引用:
金山清除不了风险软件Win32.Adware.ADLoad.y.122880
风险程序        2008-02-03  20:16:12        C:\Program Files\WinKld\Winkld.dat        Win32.Adware.ADLoad.y.122880        操作失败
可尝试使用金山清理专家百宝箱,文件粉碎器,将这个dat文件彻底删除。

4.Win32.Troj.OnlienGamesT.ny.232960
这是一个盗号木马,染毒日志类似于
引用:
病毒 2008-07-14 07:11:01 C:\Documents and Settings\Administrator\Local Settings\Temp\tmp60.tmp\$FileInGzip$ Win32.Troj.OnlienGamesT.ny.232960 发现病毒
病毒 2008-07-14 07:11:01 C:\Documents and Settings\Administrator\Local Settings\Temp\tmp5F.tmp\$FileInGzip$ Win32.Troj.OnlienGamesT.ny.232960 发现病毒
病毒 2008-07-14 07:11:01 C:\Documents and Settings\Administrator\Local Settings\Temp\tmp5E.tmp\$FileInGzip$ Win32.Troj.OnlienGamesT.ny.232960 发现病毒
病毒 2008-07-14 07:11:01 C:\Documents and Settings\Administrator\Local Settings\Temp\tmp5D.tmp\$FileInGzip$ Win32.Troj.QQPassT.va.48260 发现病毒
关于该病毒的详细分析
引用:
病毒行为:

这是个盗号木马。针对目标是网络游戏《奇侠》的帐号密码信息。病毒为对抗杀毒软件,设置有一些无用字符串,试图干扰查杀。

1.病毒首先判断自身是否是在explorer.exe进程中,读取当前目录下的同名log文件(该文件由exe木马释放),读取保存在log文件中的信息,然后删除该log文件。

2.病毒代码中存在一些无用字符串,可能是想引诱杀软的特征定位在这些字符上。

3.新建线程加载自身dll,然后调用木马自身的输出函数sdfrrg,这个函数会设置键盘消息,鼠标消息等钩子,全面监视系统。

4.这个家族系列木马各有分工,分别针对不同网络游戏,本样本主要是窃取网络游戏《奇侠》用户的帐号,得手后将其发送到先前保存在同名log文件中的收信地址。
5.Win32.Troj.OnlineGamesT.ui.35328
这是一个盗号木马,升级到金山毒霸08.07.07.10版本可以查杀

这病毒一般是注入explorer进程,随机命名的DLL文件,此病毒还可能破坏explorer.exe程序,很可能造成系统重启后不能登录。

如果出现此问题,建议在带命令行的安全模式完成病毒清除之后,从其它正常电脑COPY一个explorer.exe,然后复制到windows目录下。就可以恢复windows桌面的正常登录

6.Win32.Troj.Agent.48128
这是一个木马下载器,金山毒霸08.07.05.10版本可以查杀

7.Win32.Troj.OnlineGames.fd.536072
查毒日志类似于
引用:
病毒        2008-07-13  18:38:49        病毒在文件C:\WINDOWS\system32\arjrkler.dll中        Win32.Troj.OnlineGames.fd.536072        处理成功(操作:删除)      
通常发现这个病毒的同时,会发现更多其它病毒,明显是木马下载器的产物。

8.Win32.Troj.Encode.a.114688
这是一个木马程序,金山毒霸08.07.21.10版本可以查杀
查毒日志类似于
引用:
病毒 2008-07-20  08:19:25 C:\Documents and Settings\XX\Local Settings\Temporary Internet Files\Content.IE5\22MCY7H7\cc2[1].exe Win32.Troj.MapwdT.fc.20628 清除成功
病毒 2008-07-20  08:19:23 C:\Documents and Settings\XX\Local Settings\Temporary Internet Files\Content.IE5\M0L2D8VI\cc29[1].exe Win32.Troj.Encode.a.114688 清除成功
病毒 2008-07-20  08:19:23 C:\Documents and Settings\XX\Local Settings\Temporary Internet Files\Content.IE5\M0L2D8VI\cc15[1].exe Win32.Troj.GameOnlineT.xx.61440 清除成功
显然,这是木马下载器的产物之一

9.Win32.Adware.BHOAdwareT.137687
这是一个广告软件,以BHO的方式启动,可以使用金山清理专家管理这个浏览器加载项。

10.Win32.PSWTroj.WOW.139264
这是网游盗号木马,金山毒霸08.07.09.10版本可以查杀。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章