Win32.Troj.FakePhoto是一種木馬,影響系統:Win9x / WinNT。
基本介紹
- 中文名:Win32.Troj.FakePhoto
- 影響系統 : Win9x / WinNT
- 中文名稱 : 圖片黑手
- 病毒類型 : 木馬
簡介,病毒行為,過程,
簡介
病毒別名:
處理時間:
威脅級別:★★
中文名稱:圖片黑手
病毒類型:木馬
影響系統:Win9x / WinNT
病毒行為
該病毒顯示為一個圖片檔案的圖示,迷惑用戶去打開,然後病勸愚戒毒顯示出一副圖片,病毒就悄悄地在後台運行了。該病毒首先會搜尋記憶體中的反病毒軟體,如金山網鏢、天網防火牆、木馬剋星、瑞星等,一旦找到就將其關閉,並且刪除該進程的所在目錄下遷廈欠的所有子目錄以及檔案;病毒將自炒再仔己複製到系統多個目錄戲譽廈下面,並修改可執行程式關聯到病只盼永宙毒,使得用戶一運行正常程式都可能激活病毒;病毒將自己載入到註冊表得啟動項,並且修改註冊表使得檔案管理器不顯示隱藏檔案以及檔案擴展名,使用戶更難發覺病毒得存在;病毒修改註冊表禁止用戶打開任務管理器以及禁止編輯註冊表。病毒到指定的網址下載檔案並運行;將自己複製到搜尋到的區域網路可寫目錄,以感染更多用戶;病毒還添加帶密碼的管理員帳號,為黑客大開方便之門;開啟後門,等待外界攻擊者連線,並執行其發來的控制指令,如註銷,重啟,關機,註銷,上傳下載檔案,操作註冊表,獲取用戶信息,竊取用戶按鍵信息等。
過程
1.枚舉進程,嘗試關閉以下反病毒軟體的進程,然後刪除該進程的所在目錄下的所有子目錄以及檔案。
pfw.exe
kvfw.exe
KAVPFW.EXE
iamapp.exe
nmain.exe
freepp.EXE
freekav.EXE
freesys.EXE
Iparmor.exe
trojan_hunter.exe
Rfw.exe
rav
taskmgr.exe
2.搜尋註冊表,刪除以下反病毒軟體的啟動項,刪多戶棵訂除對應檔案。
HLM\SoftWare\Microsoft\windows\CurrentVersion\Run
"SKYNET Personal FireWall"
"iDuba Personal FireWall"
"iamapp"
"rfw"
"popproxy"
"RavMon"
"RavTimer"
HLM\SoftWare\Microsoft\windows\CurrentVersion\RunServices
"RavMon"
HCU\SoftWare\Microsoft\windows\CurrentVersion\Run
"KVFW"
3.創建目錄 %SystemRoot%\temp,將自身複製為:%SystemRoot%\temp\ssshost.exe並運行,ssshost.exe再將自身複製為%systemRoot%
\svchost.exe並運行。可能釋放檔案:%systemRoot%\svchost.dll,遠程巴促注入到系統進程Explorer.exe中。
4.創建互斥量byc001,防止病毒的多個實例運行。
5.修改註冊表。
添加註冊表主鍵和鍵值:
HKLM\SoftWare\MicroSoft\Windows\CurrentVersion\Run\
"Microsoft"="%SystemRoot%\SVCHOST.EXE"
HKLM\SOFTWARE\Classes\exefile\shell\open\command
"%SystemRoot%\SVCHOST.EXE "%1" %*"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\
"CheckedValue"=dword:0x2
"DefaultValue"=dword:0x2
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableRegistryTools"=dword:0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableTaskMgr"=dword:0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
"HideFileExt"=dword:0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
"Hidden"=dword:0x2
HKEY_LOCAL_MACHINE\SOFTWARE\mysoft
"Version"=dword:3e9
6.到指定的網址下載檔案到本地計算機%systemroot%\iexplorer.exe並運行。
7.將自身複製到區域網路中可寫目錄,以感染更多計算機。
8.可能添加帶密碼的管理員帳號。
9.開啟後門,等待外界攻擊者連線,並執行其發來的控制指令,如註銷,重啟,關機,註銷,上傳下載檔案,操作註冊表,獲取用戶信息,竊取用戶按鍵信息。
4.創建互斥量byc001,防止病毒的多個實例運行。
5.修改註冊表。
添加註冊表主鍵和鍵值:
HKLM\SoftWare\MicroSoft\Windows\CurrentVersion\Run\
"Microsoft"="%SystemRoot%\SVCHOST.EXE"
HKLM\SOFTWARE\Classes\exefile\shell\open\command
"%SystemRoot%\SVCHOST.EXE "%1" %*"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\
"CheckedValue"=dword:0x2
"DefaultValue"=dword:0x2
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableRegistryTools"=dword:0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableTaskMgr"=dword:0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
"HideFileExt"=dword:0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
"Hidden"=dword:0x2
HKEY_LOCAL_MACHINE\SOFTWARE\mysoft
"Version"=dword:3e9
6.到指定的網址下載檔案到本地計算機%systemroot%\iexplorer.exe並運行。
7.將自身複製到區域網路中可寫目錄,以感染更多計算機。
8.可能添加帶密碼的管理員帳號。
9.開啟後門,等待外界攻擊者連線,並執行其發來的控制指令,如註銷,重啟,關機,註銷,上傳下載檔案,操作註冊表,獲取用戶信息,竊取用戶按鍵信息。
