超级巡警团队监测到恶意程序Trojan.Win32.Runner.bh,该病毒为木马程序,运行后释放并下载大量盗号木马,关闭360保险箱的监控,使360保险箱失效,盗号木马盗取用户游戏账号,给用户的财产带来损失。超级巡警建议用户使用超级巡警保险箱来保证游戏账号的安全,同时提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan.Win32.Runner.bh
病毒类型:木马
危害级别:3
感染平台:Windows
病毒大小:35,328 字节
SHA1 : A342F41A75CD1347664093C5FB53782623B95DB3
加壳类型:UPX
开发工具:Microsoft Visual C++
病毒标签:
病毒名称:Trojan.Win32.Runner.bh
病毒类型:木马
危害级别:3
感染平台:Windows
病毒大小:35,328 字节
SHA1 : A342F41A75CD1347664093C5FB53782623B95DB3
加壳类型:UPX
开发工具:Microsoft Visual C++
病毒行为:
1、病毒运行以后释放其他病毒文件。
%system%driverswinsawids.sys
%Temp%309657(随即名)
%system%System.exe
1、病毒运行以后释放其他病毒文件。
%system%driverswinsawids.sys
%Temp%309657(随即名)
%system%System.exe
2、遍历进程,如果存在kavstart.exe、safeboxtray、360Tray进程,就将其结束。
3、添加注册表服务相关键值,使病毒随windows启动时加载。
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
值:"System.exe"
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows
注册表项:AppInit_DLLs
值: HBmhly.dll、HBWOW.dll、HBJTLQ.dll、HBTL.dll、HBDNF.dll、HBQQXX.dll
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
值:"System.exe"
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows
注册表项:AppInit_DLLs
值: HBmhly.dll、HBWOW.dll、HBJTLQ.dll、HBTL.dll、HBDNF.dll、HBQQXX.dll
4、添加注册表服务相关键值,加载驱动,并创建一个名为"\.Delkil"的设备与驱动文件交互。
HKLMSYSTEMCurrentControlSetServicesKisstusb
路径:"%system%driverswinsawids.sys"
HKLMSYSTEMCurrentControlSetServicesKisstusb
路径:"%system%driverswinsawids.sys"
5、将DLL文件(盗号木马)注入explorer.exe、system.exe等进程。
6、下载文件:hxxp://www.oi***.net/ko.txt
根据该文件下载并运行以下文件
hxxp://61.164.118.***/new/new1.exe
hxxp://61.164.118.***/new/new2.exe
hxxp://61.164.118.***/new/new3.exe
hxxp://61.164.118.***/new/new4.exe
hxxp://61.164.118.***/new/
根据该文件下载并运行以下文件
hxxp://61.164.118.***/new/new1.exe
hxxp://61.164.118.***/new/new2.exe
hxxp://61.164.118.***/new/new3.exe
hxxp://61.164.118.***/new/new4.exe
hxxp://61.164.118.***/new/
相关文章
共有条评论
