病毒名称:
Trojan.Gamqowi
类别: 木马病毒
病毒资料:
该病毒长度 159,744 字节,感染使用 windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统,此病毒打开后门,降低系统安全设置,到当收到、打开此病毒时,有以下危害:
A 建立系统互斥量 lmnla,识别木马只感染系统一份
B 复制自身到windows目录的 mwfirewall.exe 和 svch0st.exe
C 释放文件mscore32.dll dodrrr.exe msconfl.dat 到windows目录
D 从注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中
删除"devsec"
E 从注册表
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer 中
删除"sp0furl" "upurl" "sockport" "emsss" 和 "emsrv"
E 增加 "ms_anti_spyware" = "%Windir%\mwfirewall.exe"
和 "WINRUN" = "svch0st.exe"
到注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
使得病毒每次开机后启动
F 修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
中的
"SFCDisable" 为 "0"
"SFCScan" 为 "0"
降低系统安全设置
G 增加 "lmnla" "veer" "mtxnm" 到注册表的
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer
H 修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
和
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
中的 "DisableRegistryTools" 为 "0"
I 注入 mscore32.dll 到创建 Shell_TrayWnd 窗口的进程中
J 结束以下进程(部分为安全进程)
ccapp.exe
zapro.exe
armor2net.exe
ZAPRO.EXE
amon.exe
MpfService.exe
zonealarm.exe
outpost.exe
firewall.exe
atguard.exe
tpfw.exe
kpf4ss.exe
mrt.exe
NPROTECT.EXE
kpf4gui.exewintbp.exe
svnlitup32.exe
service32.exe
mousebm.exe
llsrv.exe
pnpsrv.exe
winpnp.exe
csm.exe
system32.exe
botzor.exe
upnp.exe
wintbpx.exe
winshost.exe
windll2.exe
firewall_anti.exe
wintbpx.exe
FirewallSvr.exe
K 屏蔽以下网站的访问
avp.com
ca.com
customer.symantec.com
dispatch.McAfee.com
download.mcafee.com
downloads-eu1.kASPersky-labs.com
downloads-us1.kaspersky-labs.com
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
f-secure.com
kaspersky-labs.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
microsoft.com
my-etrust.com
nai.com
networkassociates.com
oxyd.fr
pandasoftware.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
t35.com
t35.net
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
virustotal.com
www.avp.com
www.ca.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.oxyd.fr
www.pandasoftware.com
www.sophos.com
www.symantec.com
www.t35.com
www.t35.net
www.trendmicro.com
www.viruslist.com
www.virustotal.com
L 联系 195.245.244.243 服务器的 TCP 4661 端口并且等待黑客下达以下命令
获取系统信息
下载文件执行
发送邮件
M 下载以下文件执行 http://qanmQQoiw.com/[已删除]/up.PHP:%Windir%\ajlkqjlk.exe
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-10-24