Trojan-Downloader.Win32.Agent.qtx释放NtfdDisk.sys文件到%SystemRoot%System32 driver文件夹下,创建服务加载驱动,利用磁盘驱动技术穿透还原卡保护。此恶意程序会下载并运行30多个恶意程序,这些恶意程序主要用来盗取用户游戏账号。超级巡警团队提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Downloader.Win32.Agent.qtx
病毒别名:机器狗变种
病毒类型:木马下载者
危害级别:3
感染平台:Windows
病毒大小:14,508(字节)
SHA1 :6DF4B5001073C10DC2B8E97A032A29525E9FBB42
加壳类型:Upack
病毒行为:
1、病毒运行以后释放文件:
%SystemDrive%rmeslf.bat
%SystemDrive%mahtesf.bat
%System32%driversNtfdDisk.sys
%SystemRoot%ctfmon.exe
2、添加注册表创建名为NtfdDisk的服务、加载驱动并删除驱动文件 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNtfdDisk]
3、利用释放的BAT文件,删除病毒释放到各个文件下的文件
4、下载文件:http://jqm.htitm***.cn/1.txt
根据该文件下载并运行以下文件
http://xxx.dfasdaqwd.cn/***/aa1.exe
http://xxx.dfasdaqwd.cn/***/aa2.exe
http://xxx.dfasdaqwd.cn/***/aa3.exe
http://xxx.dfasdaqwd.cn/***/aa4.exe
http://xxx.dfasdaqwd.cn/***/aa5.exe
http://xxx.dfasdaqwd.cn/***/aa6.exe
http://xxx.dfasdaqwd.cn/***/aa7.exe
http://xxx.dfasdaqwd.cn/***/aa8.exe
http://111.dfasdaqwd.cn/***/aa9.exe
http://111.dfasdaqwd.cn/***/aa10.exe
http://111.dfasdaqwd.cn/***/aa11.exe
http://111.dfasdaqwd.cn/***/aa12.exe
http://111.dfasdaqwd.cn/***/aa13.exe
http://111.dfasdaqwd.cn/***/aa14.exe
http://111.dfasdaqwd.cn/***/aa15.exe
http://222.dfasdaqwd.cn/
共有条评论
