&quot;木馬下載器&quot;病毒阻止用戶進入安全模式

News

"木馬下載器"病毒阻止用戶進入安全模式

【賽迪網-IT技術報道】Win32.TrojDownloader.Agent.bl.139378病毒為一個木馬下載器。病毒運行後複製自身到系統目錄，修改註冊表、添加啟動項，以達到隨機啟動的目的。它會破壞殺毒軟體和安全輔助工具的正常運行，還會使中毒用戶無法進入安全模式下查殺病毒。病毒發作後期，它會下載其它木馬，盜取用戶電腦上的敏感資料。

病毒名稱(中文)：劫持者下載器139378

威脅級別：★★☆☆☆

病毒類型：木馬下載器

病毒長度：139378

影響系統：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為：

該病毒為一個木馬下載器。病毒運行後複製自身到系統目錄，修改註冊表、添加啟動項，以達到隨機啟動的目的。它會破壞殺毒軟體和安全輔助工具的正常運行，還會使中毒用戶無法進入安全模式下查殺病毒。病毒發作後期，它會下載其它木馬，盜取用戶電腦上的敏感資料。

1.生成文件

c:/Program Files/meex.exec:/Program Files/Common File/System/.exec:/Program Files/Common Files/Microsoft Shared/.exe

2.修改註冊表，添加啟動項，以達到隨機啟動的目的

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunDefault = "C:/Program Files/Common Files/System/.exe"

3.刪除註冊表安全模式的有關信息，當開機時不能啟動安全模式

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}Defualt = "DiskDrive"HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}Defualt = "DiskDrive"

4.改變註冊表值使隱藏文件不可見，達到病毒體隱藏目的

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALLCheckedValue = dword:00000000

5.禁用此計算機上的幫助與支持中心服務：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/helpsvcStart = dword:00000004

6.禁用網絡地址轉換、尋址、名稱解析、和入侵保護服務：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccessStart = dword:00000004

7.禁用監視系統安全設置和配置服務：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/wscsvcStart = dword:00000004

8.禁用下載和安裝Windows更新服務：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/wuauservStart = dword:00000004

9.映像劫持

通過在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options下添加註冊表項來進行文件映像劫持，可阻止大量安全軟體及系統管理軟體運行，並執行

病毒體。

被劫持的軟體包括：

360rpt.exe;360Safe.exe;360tray.exe;adam.exe;AgentSvr.exe;AppSvc32.exe;autoruns.exe;avgrssvc.exe;AvMonitor.exe;avp.com;avp.exe;CCenter.exe;ccSvcHst.exe;FileDsty.exe;FTCleanerShell.exe;HijackThis.exe;IceSword.exe;iparmo.exe;Iparmor.exe;isPwdSvc.exe;kabaload.exe;KaScrScn.SCR;KASMain.exe;KASTask.exe;KAV32.exe;KAVDX.exe;KAVPFW.exe;KAVSetup.exe;KAVStart.exe;KISLnchr.exe;KMailMon.exe;KMFilter.exe;KPFW32.exe;KPFW32X.exe;KPFWSvc.exe;KRegEx.exe;KRepair.COM;KsLoader.exe;KVCenter.kxp;KvDetect.exe;KvfwMcl.exe;KVMonXP.kxp;KVMonXP_1.kxp;kvol.exe;kvolself.exe;KvReport.kxp;KVScan.kxp;KVSrvXP.exe;KVStub.kxp;kvupload.exe;kvwsc.exe;KvXP.kxp;KvXP_1.kxp;KWatch.exe;KWatch9x.exe;KWatchX.exe;loaddll.exe;MagicSet.exe;mcconsol.exe;mmqczj.exe;mmsk.exe;NAVSetup.exe;nod32krn.exe;nod32kui.exe;PFW.exe;PFWLiveUpdate.exe;QHSET.exe;Ras.exe;Rav.exe;RavMon.exe;RavMonD.exe;RavStub.exe;RavTask.exe;RegClean.exe;rfwcfg.exe;RfwMain.exe;rfwProxy.exe;rfwsrv.exe;RsAgent.exe;Rsaupd.exe;runiep.exe;safelive.exe;scan32.exe;shcfg32.exe;SmartUp.exe;SREng.exe;symlcsvc.exe;SysSafe.exe;TrojanDetector.exe;Trojanwall.exe;TrojDie.kxp;UIHost.exe;UmxAgent.exe;UmxAttachment.exe;UmxCfg.exe;UmxFwHlp.exe;UmxPol.exe;UpLive.EXE.exe;WoptiClean.exe;zxsweep.exe;

10.該病毒在各個驅動器下創建.exe前，首先判斷驅動器的根目錄下是否存在.exe文件或文件夾，如果存在則先嘗試刪除，然後創建autorun.inf文件和對應可執行病毒文件。

11.從以下網址下載其他病毒文件至客戶機器。

hxxp://www.*****.com/Rettwn.txthxxp://www.wt*****.com/TDown1.exe

(

回上頁回首頁

免費客服專線

0800-600-386

【直營地點】
台北資料救援：115台北市南港區三重路19-11號E棟(南港軟體園區)
新竹資料救援：300新竹市東區光復路二段156號
新竹科學園區資料救援：新竹科學工業園區新安路5號4樓 (鴻海大樓裡面)
台南資料救援：700台南市中西區北門路一段57號 TEL:06-505-0005

&quot;木馬下載器&quot;病毒阻止用戶進入安全模式

"木馬下載器"病毒阻止用戶進入安全模式