基本介紹
基本信息,修複方法,
基本信息
中文名 病毒下載器
外文名 Win32.Troj.SecretAgent.cd.200704
修複方法
2. 禁用系統安全中心、windows 防火牆、系統還原。
3. 結束360 的進程、刪除其進程檔案。並修改360 的設定,使360 的保護失效。
4. 釋放木馬下載者病毒。
5. 刪除病毒運行過程中生成的所有檔案(不含釋放的木馬下載者)。註:此項可配置,若不設定,病毒會釋放副本C:Progra~1RealtekAPPathRTHDCPL.ex,
e,並為之創建啟動項:HKLMSoftWareMicrosoftWindowsCurrentVersionRunSoundma n。
1.將本進程檔案移動到同盤的根目錄,且重命名為x:NTDUBECT.exe
2.根據查找是否有avp.exe 進程、是否可以修改系統時間來檢測當前系統中是否有裝有卡巴斯基,若有,程式返回。
3.禁用系統安全中心、windows 防火牆、系統還原。
4.設定HKLMsoftware360safesa femon 子鍵下的ExecAccess,SiteAccess, MonAcc
ess, VDisk Access, ARPAccess, IEProtAccess 為0.
檢測當前系統中是否有360tray.exe、360safe.exe,若有,結束進程、刪除進程檔案。
5.檢測系統中是否有ravmond.exe、kwatch.exe 、kasma in.exe。若有:
1) 將進程資源RCDATA/"ANTIR"釋放到%temp%ANTIR.exe 。
2) 將進程資源RCDATA/"KNLPS"釋放到%temp%ANTIR.sys 。
3) 生成批處理腳本%temp%tmp.bat,內容為:(以下%temp%代表C:DOCUME~1xzLOCALS~1Temp)
cd %temp%%temp%ANTIR.exe -f $安全進程軟體的進程iddel C:DOCUME~1xzLOCALS~1TempANTIR.exe;C:DOCUME~1xzLOCALS~1TempANTIR.sys;C:DOCUME~1xzLOCALS~1Temptmp.bat進程可為rfwsrv.exe, rfwmain.exe, kwatch.exe, kissvc.exe, kpfwsvc.exe, safeboxTray.exe,RavMonD.ex
4) 調用WinExec("tmp.bat", SW_HIDE)執行腳本關閉安全軟體的監控進程、刪除自身的檔案。
5) 等待腳本被成功刪除。最多等待10s。
6) 病毒利用自己的另一個檔案antir.Exe和驅動檔案antir.Sys,查詢並替換毒霸和瑞星的檔案。
7) (本樣本無此行為)若系統中, RavMonD.exe、kwatch.exe 進程已經不存在,且GEN_RTHDCPL 標誌被設定,若當前系統為NT(dwPla tformID, VER_PLATFORM_WIN32_NT), 創建啟動項:HKLMSoftWareMicrosoftWindowsCurrentVersionRunSoundma n "C:Progra~1RealtekAPPathRTHDCPL.exe"
6.再次檢測是否存在avp.exe 進程,若存在:
1) 調用mixer* 函式靜音
2) 將系統年份修改為2000 年
3) 打開聲音
4) 循環15 次設定系統時間
5) 再次禁用系統安全中心、windows 防火牆、系統還原。
設定HKLMsoftware360safesa femon 子鍵下的ExecAccess,SiteAccess, Mon
Access, VDisk Access, ARPAccess, IEProtAccess 為0.
檢測當前系統中是否有360tray.exe、360safe.exe,若有,結束進程、刪除
進程檔案。
6) 再次檢測系統中是否有ravmond.exe、kwatch.exe 、kasma in.exe。
7) 將RCDATApackageinfo 保存為%temp%setup.exe, 並執行setup.exe。此文
件為一個木馬下載者。
7.建立映像劫持,此項可由配置信息控制。
8.(本樣本無此行為)恢復原來的時間,此項可由配置信息控制。
8.若生成了NTDUBECT.exe, 調用命令行"cmd /c del"刪除之。
