av杀手trojan

《av杀手trojan》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、AV杀手Trojan　　该木马是使用VC编写的盗号程序，由微点主动防御软件自动捕获，采用FSG加壳方式试图躲避特征码扫描，加壳后长度为58,368字节，图标为，病毒扩展名为exe，主要通过网页木马、文件捆绑方式传播，病毒映像劫持一百余种杀毒软件和防火墙，并下载其他病毒程序。　　病毒分析　　该样本程序被执行后,通过映象劫持将大部分安全软件重定位到ntsd-d，当用户运行这些软件时会自动运行系统ntsd；　　Quote:　　DrvAnti.exe　　avp.　　avp.exe　　runiep.exe　　PFonD.exe　　RavStub.exe　　RegClean.exe

2、　　rfartUp.exe　　SREng.exe　　symlcsvc.exe　　SysSafe.exe　　TrojanDetector.exe　　TrojanxAgent.exe　　UmxAttachment.exe　　UmxCfg.exe　　UmxFxPol.exe　　UpLive.exe　　procexp.exe　　OllyDBG.exe　　OllyICE.exe　　rfon.exe　　regmon.exe　　AntiArp.exe　　taskmgr.exe　　GFUpd.exe　　GFRing3.exe　　GuardField.exe　　在%SystemRoot%

3、system32目录下释放驱动文件******，调用SCM写注册表，将驱动程序******注册成与驱动文件同名的服务，通过相关API函数启动被注册的服务，驱动加载成功后，使用API函数DeleteFileA删除驱动文件******；驱动的作用是恢复SSDT表12下一页友情提醒：，特别！使部分安全软件监控失效，以及关闭安全软件进程。　　Quote:　　项：HKLMSYSTEMCurrentControlSetServices******　　键值：DisplayName　　指向数据：******　　键值：ImagePath　　指向文件：%SystemRoot%system3

4、2******　　键值：Start　　指向数据：03　　遍历进程查找Explorer.exe，申请内存空间将动态库msosdohs**.dll写入，通过相关API函数激活病毒代码进行代码注入；之后向驱动程序msosmsfpfis64.sys发送控制信息用来保护自身；遍历进程查找xy2.exe（大话西游2）是否存在，如果存在把自己注入其中，之后使用函数ReadProcessMemory读取游戏信息；打开数据文件msosdohs.dat，读取其中的盗号者信息，通过HTTP协议将木马所截获信息发送到盗号者收信空间中。　　开启一线程遍历进程查找以上进程使用驱动程序将其关闭；在%

5、SystemRoot%system32目录下释放动态库winin.nls，修改文件属性为只读、隐藏和系统；使用API函数LoadLibraryA加载动态库winin.nls；以批处理的形式将病毒原文件删除；　　winin.nls加载运行后，试图通过全局钩子将动态库winin.nls注入到所有进程中；使用ping命令查看网络是否连通，如果连通则使用API函数URLDownloadToFileA将其他病毒程序下载到本地并运行。　　安全提示　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微

6、点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现未知木马，请直接选择删除处理；　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现Trojan-Spy.Win32.KillAV.b，请直接选择删除。　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：　　1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。　　2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术

7、支持。　　3、开启windows自动更新，及时打好漏洞补丁。上一页12友情提醒：，特别！