基本介紹
- 外文名:Trojan-Downloader.Win32.Flux.lq
- 感染對象:Windows 2000/Windows
- 傳播途徑:網頁木馬、檔案捆綁
- YissAi建議:及時打好漏洞補丁
病毒分析,技術細節,
病毒分析
該樣本程式被激活後:通過遍歷進程查找相關防毒軟體進程,修改系統時間使得部分防毒軟體失效,使用模擬擊鍵方式跳過一些殺軟的監控措施;拷貝自身到%SystemRoot%\system32目錄下,取隨機7位字元作為病毒主體檔案名稱並執行。
病毒主體程式被執行後:註冊自身為同名win32服務,實現開機自啟動,調用SCM啟動該服務釋放同名動態庫檔案,通過提權、寫記憶體、創建遠程執行緒的方式將該dll注入到winlogon.exe與explorer.exe的進程空間中。
病毒動態庫被注入相關進程後:釋放病毒副本檔案auto.exe與autorun.inf到每個盤符,連線地址http://nx.***lb.cn/soft/update.txt讀取下載列表,下載多種盜號木馬程式及其自身更新程式。
YissAi建議
1、不要在不明站點下載非官方版本的軟體進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、建議關閉隨身碟自動播放,具體操作步驟:開始->運行->gpedit.msc->計算機配置->管理模板->系統->在右側找到"關閉自動播放"->雙擊->選擇"己啟用"。
3、儘快將您的防毒軟體特徵庫升級到最新版本進行查殺,並開啟防火牆攔截網路異常訪問,如依然有異常情況請注意及時與專業的安全軟體廠商聯繫獲取技術支持。
4、開啟windows自動更新,及時打好漏洞補丁。
技術細節
下載木馬列表:
Http://nx.***lb.cn/soft/soft/e47e57844ef30ab4.exe Trojan-Downloader.Win32.Flux.lq
Http://****.tom.com/download/archive/01400974/SkypeClient.exe Trojan-Downloader.Win32.Adload.apx
Http://222.73.247.***/mh0618.exe Trojan-PSW.Win32.OLGames.ffr
Http://222.73.247.***/my0616.exe Trojan-PSW.Win32.OLGames.ffs
Http://222.73.247.***/qj0617.exe Trojan-PSW.Win32.OLGames.fft
Http://222.73.26.*/tl0619.exe Trojan-PSW.Win32.OLGames.fec
Http://220.189.255.**/wow0617.exeTrojan-PSW.Win32.OLGames.fed
Http://222.73.254.**/dh3.exe Trojan-PSW.Win32.OLGames.ffp
Http://220.189.255.**/qqsg.exe Trojan-PSW.Win32.OLGames.ffu
Http://222.73.247.***/jh0619.exe Trojan-PSW.Win32.OLGames.ffq
Http://222.73.254.**/zt0616.exe Trojan-PSW.Win32.OLGames.ffw
Http://222.73.247.***/wl0618.exe Trojan-PSW.Win32.OLGames.ffv
Http://123.www****.cn/cq0619.exe Trojan-PSW.Win32.Lmir.dkh
Http://222.73.247.***/wd0618.exe Trojan-PSW.Win32.OLGames.fgd
Http://123.www****.cn/huaxia.exe Trojan-PSW.Win32.OLGames.fgc
Http://222.73.254.**/qqhx.exe Trojan-PSW.Win32.OLGames.fgb
Http://220.189.255.**/dh0616.exe Trojan-PSW.Win32.OLGames.fga
Http://61.129.45.***/zy.exe Trojan-PSW.Win32.OLGames.ffz
Http://61.129.45.***/jt.exe Trojan-PSW.Win32.OLGames.ffy
Http://61.129.45.***/fh.exe Trojan-PSW.Win32.OLGames.ffx
Http://220.189.255.**/cs0619.exe Trojan-PSW.Win32.OLGames.cqx
