超级巡警团队监测到恶意程序Trojan.Win32.AD.sq正在传播,该病毒运行后创建病毒文件,屏蔽任务管理器以及对病毒文件的右键属性功能,并导致用户无法浏览图片等,自动打开大量广告网页及黄色网站,严重影响用户电脑的运行速度和网速。超级巡警提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan.Win32.AD.sq
病毒类型:木马类
危害级别:3
感染平台:Windows
病毒大小:69,632 字节
S H A 1 :f902318c15115b28a6cb5a241985790829a6c108
加壳类型:无壳
开发工具:Microsoft Visual C++ 6.0
病毒行为:
1、该病毒运行后创建并运行以下病毒文件:
%Windir%DLECOQ.bat
%Windir%E3CO3VEIF.exe(名称随机,大小69,632 字节)
%ProgramFiles%KVBTR.exe(名称随机,大小32,768 字节)
%ProgramFiles%QZVBEJX654OV.bat(名称随机,大小1,377 字节)
%ProgramFiles%8YMF8GZRLVG(文件夹名称随机)
%ProgramFiles%8YMF8GZRLVGRCD6T2RJ4P.exe(名称随机,大小69,632 字节)
2、调用命令解释程序运行生成的如下文件:
%ProgramFiles%QZVBEJX654OV.bat(名称随机,大小1,377 字节)
文件执行完毕后,删除自身。
3、设置病毒文件属性为:只读,隐藏,系统。
4、创建启动类型为自动的Windows服务:sc.exe create XAC4OT4CD
显示名称:3YF2X7J6(名称随机)
5、解除以下服务,方便下载木马等:
regsvr32.exe /u /s shimgvw.dll :导致用户无法浏览图片照片等
regsvr32.exe /u /s itss.dll :导致用户无法打开CHM/ITS格式文件
regsvr32.exe /u /s scrrun.dll:利于基于FSO组件的ASP木马的下载执行
regsvr32.exe /u /s vbscript.dll:反注册Vbscript.dll,让某些网页无法浏览
regsvr32.exe /s jscript.dll:注册jscript.dll,不管成功与否均不显示提示框
6、添加以下注册表项来修改internet选项设置:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainPlay_Background_Sounds /t REG_SZ /d no
:禁止播放HTML中的背景音乐
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainPlay_Animations /t REG_SZ /d no
:禁止播放网页中的动画
共有条评论
