超级巡警团队监测到恶意程序Trojan-GameThief.Win32.OnLineGames.tags“盗贼”会修改系统文件debug.exet和taskmgr.exe;通过直接读写磁盘来穿透还原软件(类似机器狗),破坏十分严重;还会下载其他大量恶意程序,盗取用户敏感信息。超级巡警团队提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-GameThief.Win32.OnLineGames.tags
病毒类型:木马
危害级别:3
感染平台:Windows
病毒大小:15,956(字节)
S H A 1 :b7628789c87f07c1574cc9c0828edb87e5dceeac
加壳类型:UPack
开发工具:Microsoft Visual C++
病毒行为:
1、释放文件:
%Windir%*.exe //*为四位随机字母
%System%driversntkapi.sys
修改文件:
%System%dllcachetaskmgr.exe
2、加载驱动文件ntkapi.sys,直接读写磁盘;
用恶意代码直接写入文件%System%debug.exe。
2、程序*.exe执行后,会停止服务:ekrn、NOD32krn;
调用taskkill.exe终止以下进程:
ekrn.exe、egui.exe、nod32krn.exe、nod32kui.exe。
3、通过连接www.google.cn和www.baidu.com来测试是否处于联网状态;
1、释放文件:
%Windir%*.exe //*为四位随机字母
%System%driversntkapi.sys
修改文件:
%System%dllcachetaskmgr.exe
2、加载驱动文件ntkapi.sys,直接读写磁盘;
用恶意代码直接写入文件%System%debug.exe。
2、程序*.exe执行后,会停止服务:ekrn、NOD32krn;
调用taskkill.exe终止以下进程:
ekrn.exe、egui.exe、nod32krn.exe、nod32kui.exe。
3、通过连接www.google.cn和www.baidu.com来测试是否处于联网状态;
如果可以访问网络,则下载并执行以下文件:
http://111.*****.net/cao/aa1.exe
http://111.*****.net/cao/aa2.exe
http://111.*****.net/cao/aa3.exe
http://111.*****.net/cao/aa4.exe
http://111.*****.net/cao/aa5.exe
http://111.*****.net/cao/aa6.exe
http://111.*****.net/cao/aa7.exe
http://111.*****.net/cao/aa8.exe
http://222.*****.net/cao/aa9.exe
http://222.*****.net/cao/aa10.exe
http://222.*****.net/cao/aa11.exe
http://222.*****.net/cao/aa12.exe
http://222.*****.net/cao/aa13.exe
http://222.*****.net/cao/aa14.exe
http://222.*****.net/cao/aa15.exe
相关文章
共有条评论
