以下是超级巡警团队给出的病毒分析报告和解决方案:
一、病毒相关分析:
病毒标签:
病毒名称:Trojan.Win32.Runner.bu
病毒别名:网吧侠盗
病毒类型:木马
危害级别:3
感染平台:Windows
病毒大小:35,328 字节
SHA1 : 2D11BC6A0EA27FF88EC09658605E659D2DA11D5C
加壳类型:UPX
开发工具:Microsoft Visual C++
病毒行为:
1、病毒运行以后释放其他病毒文件。
%system%driverswinsawids.sys
%Temp%394547(随即名)
%Temp%477595(随即名)
%Temp%666143(随即名)
%Temp%732660(随即名)
%Temp%773708(随即名)
%Temp%827974(随即名)
%Temp%1035428(随即名)
%Temp%1148086(随即名)
%Temp%1322321(随即名)
%system%System.exe
2、遍历进程,如果存在kavstart.exe、safeboxtray、360Tray进程,就将其结束。
3、添加注册表服务相关键值,使病毒随windows启动时加载。
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
值:"System.exe"
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows
注册表项:AppInit_DLLs
值: HBmhly.dll、HBWOW.dll、HBJTLQ.dll、HBTL.dll、HBDNF.dll、HBQQXX.dll
4、添加注册表服务相关键值,加载驱动,并创建一个名为".Delkil"的设备与驱动文件交互
HKLMSYSTEMCurrentCo
病毒标签:
病毒名称:Trojan.Win32.Runner.bu
病毒别名:网吧侠盗
病毒类型:木马
危害级别:3
感染平台:Windows
病毒大小:35,328 字节
SHA1 : 2D11BC6A0EA27FF88EC09658605E659D2DA11D5C
加壳类型:UPX
开发工具:Microsoft Visual C++
病毒行为:
1、病毒运行以后释放其他病毒文件。
%system%driverswinsawids.sys
%Temp%394547(随即名)
%Temp%477595(随即名)
%Temp%666143(随即名)
%Temp%732660(随即名)
%Temp%773708(随即名)
%Temp%827974(随即名)
%Temp%1035428(随即名)
%Temp%1148086(随即名)
%Temp%1322321(随即名)
%system%System.exe
2、遍历进程,如果存在kavstart.exe、safeboxtray、360Tray进程,就将其结束。
3、添加注册表服务相关键值,使病毒随windows启动时加载。
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
值:"System.exe"
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows
注册表项:AppInit_DLLs
值: HBmhly.dll、HBWOW.dll、HBJTLQ.dll、HBTL.dll、HBDNF.dll、HBQQXX.dll
4、添加注册表服务相关键值,加载驱动,并创建一个名为".Delkil"的设备与驱动文件交互
HKLMSYSTEMCurrentCo
相关文章
共有条评论
