基本介紹
- 中文名:139ujf939.exe
- 外文名:139ujf939.exe
- 長度:18,517位元組
- 傳播途徑:網頁掛馬、檔案捆綁
- 感染對象:Windows 2000
感染對象,傳播途徑,病毒分析,解決辦法,變數聲明,
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬、檔案捆綁、下載器下載
病毒分析
1.病毒運行後首先檢查自己路徑是否為"%SystemRoot%\system32\svchost.exe",如果不是再次檢查是否為"%SystemRoot%\system32\139ujf939.exe"。
2.不是則拷貝自己為139ujf939.exe,調用CreateProcessInternalA執行此檔案,如果失敗,再次調用ShellExecuteA執行此檔案,調用命令行自我刪除。
3.釋放驅動檔案PCIdump.sys,創建服務,通過向名稱為"\\.\dark2118"的設備傳送控制碼,恢復SSDT,使防毒軟體失效。
4.當139ujf939.exe執行後,創建名稱為9893284j9r302j的服務,並啟動,然後退出當前進程。
5.服務啟動後,創建互斥量,注入svchost.exe,創建執行緒,連線網路,下載病毒到本地保存為%SystemDriver%\2.exe
病毒創建檔案:
%SystemRoot%\system32\139ujf939.exe
%SystemRoot%\system32\drivers\pcidump.sys
%SystemDriver%\2.exe
病毒創建註冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\9893284j9r302j
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
解決辦法
1、手動刪除以下檔案
%SystemRoot%\system32\139ujf939.exe
%SystemRoot%\system32\drivers\pcidump.sys
%SystemDriver%\2.exe
2、手動刪除以下註冊表(開始選單-運行-輸入“regedit”進入註冊表依次找到說明選項並按提示操作):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\93jr9j329r30942
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
變數聲明
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
