该病毒为第五代机器狗,可穿透还原系统,使还原系统失效。巡警团队在捕获该样本后,对样本进行了分析。该病毒运行后释放一个tmp文件到临时文件夹下,该文件实际上是驱动文件,可以使主动防御和还原系统失效,修改系统时间,对安全软件进行映像劫持,链接网络下载病毒,严重的干扰了用户使用计算机并威胁用户计算机系统安全。超级巡警提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。
一、病毒相关分析:
病毒标签:
病毒名称:Worm.Win32.Downloader.pu
病毒类型:第五代机器狗
危害级别:5
感染平台:Windows
病毒大小:36,792字节
SHA1 : D38CF55F30A15EDD9C11F66DECA70FB1D364C74F
加壳类型:WinUpack
开发工具:Microsoft Visual C++
病毒行为:
1、病毒运行以后释放文件,该文件加载之后被自删除:
%Temp%~wxp2ins.171.tmp(随机名)
2、遍历当前进程,如发现avp.exe进程,就调用SetSystemTime函数将系统时间修改为2001,使衍生文件的创建时间都为2001年,衍生病毒文件不容易被用户察觉。
3、添加注册表映像劫持,导致用户运行安全软件,实际运行的是病毒程序,被劫持的安全软件如下:
360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、
ati2evxx.exe、autoruns.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、
CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、FTCleanerShell.exe、
HijackThis.exe、IceSword.exe、idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、
KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、
KAVSetup.exe、KAVStart.exe、kavsvc.exe、KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、
KMFilter.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRegEx.exe、KRepair.com、KsLoader.exe、
KVCenter.kxp、KvDetect.exe、KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、
KvReport.kxp、KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、KVwsc.exe、kwatch.e
共有条评论
