转自:http://www.antiyfx.com/a/wiki/bingdufenxi/2009/1218/746.html
病毒标签:
病毒描述:
行为分析-本地行为:
行为分析-网络行为:
清除方案:
病毒名称: Trojan/Win32.Small.dyq[Dropper]
病毒类型: 木马下载器
文件 MD5: 6ccb74a0701948c1ad29ef29d0bb003b
公开范围: 完全公开
危害等级: 4
文件长度: 26,112 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
该恶意代码为下载者木马,病毒运行后动态加载sfc_os.dll系统库文件,并调用该库文件序号为#5的函数,去掉对appmgmts.dll系统文件的保护,动态加载Advapi32.dll系统库文件,并调用该库文件的RegCloseKey、OpenSCManagerA函数,开启AppMgmt服务,遍历%System32%目录下的appmgmts.dll,创建病毒文件替换系统的appmgmts.dll文件,并将病毒DLL文件时间设置为该系统DLL文件的创建时间,释放驱动文件到临时目录下,等待启动之后将删除驱动文件,该驱动文件主要行为恢复SSDT过主动防御,调用StartServiceA函数启动AppMgmt服务,以系统服务启动病毒DLL文件,创建BAT批处理文件用于删除病毒自身,结束安全软件进程,将病毒DLL注入到svchost.exe进程中,开启IE连接网络下载病毒文件。
1、文件运行后会释放以下文件
%System32%\appmgmts.dll
2、病毒运行后动态加载sfc_os.dll系统库文件,并调用该库文件序号为#5的函数,去掉对appmgmts.dll系统文件的保护,动态加载Advapi32.dll系统库文件,并调用该库文件的RegCloseKey、OpenSCManagerA函数,开启AppMgmt服务,遍历%System32%目录下的appmgmts.dll,创建病毒文件替换系统的appmgmts.dll文件,并将病毒DLL文件时间设置为该系统DLL文件的创建时间,释放驱动文件到临时目录下,等待启动之后将删除驱动文件,该驱动文件主要行为恢复SSDT过主动防御。
3、调用StartServiceA函数启动AppMgmt服务,以系统服务启动病毒DLL文件经损坏而不认为其是病毒DLL文件,结束360tray.exe安全软件进程,如发现bdagent.exe、avp.exe进程该木马则会出错不连接网络造成机器速度缓慢严重可导致死机,当用户从新计算机之后则会导致bdagent.exe、avp.exe进程无法正常加载运行,将病毒DLL注入到svchost.exe进程中从而达到木马继续连接网络下载病毒文件的目的。
4、修改注册表
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AppMgmt\Type
旧值: DWORD: 3 (0x3)
新值: DWORD: 2 (0x2)
描述:修改AppMgmt服务启动方式为自动
http://nbhy6.114cen****.com/bhy/0.exe
描述:连接以上地址下载病毒文件
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
1、使用安天防线可彻底清除此病毒(推荐),请点击下载(http://www.antiyfx.com/download.htm)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool管理工具,请点击下载(http://www.antiy.com/cn/download/atool.htm)。
(1) 使用ATOOL进程管理结束病毒appmgmts.dll模块进程。
(2) 强行删除病毒下载的大量病毒文件
%System32%\appmgmts.dll
(3)恢复注册表
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AppMgmt\Type
旧值: DWORD: 3 (0x3)
新值: DWORD: 2 (0x2)
分享到:
相关推荐
【病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
【标题】"Trojan专杀工具"是一款针对Trojan病毒设计的专业清除软件,它能够有效地检测和清除系统中的特洛伊木马病毒。特洛伊木马,简称Trojan,是一种恶意软件,常以伪装成合法软件的方式诱导用户下载安装,从而在...
标题中的“Trojan-Dropper.Win32.Dropkit.a清除工具”表明了这是一个专门用于清除特定类型电脑病毒的工具包。这种病毒属于Windows平台上的特洛伊木马病毒(Trojan Horse),并且它是一个dropper,意味着它的主要功能...
2020年trojan最新windows64客户端
RannohDecryptor是卡巴斯基推出的一个Rannoh勒索病毒解密工具,可以解密Rannoh在内的7款勒索软件加密的文件,包括Polyglot、Rannoh、AutoIt、Fury...7、Trojan-Ransom.Win32.CryptXXX (目前能解版本1、版本2,版本3)
RakhniDecryptor,即卡巴斯基Rakhni勒索病毒解密工具,可以解密Rakhni在内的15种勒索病毒软件,其中还包括一款安卓勒索软件"Trojan-Ransom.AndroidOS.Pletor",如果你的电脑或安卓手机感染了勒索病毒,可以使用该...
Delphi病毒是一种可以在编译时感染Delphi文件的病毒,具体来说是Win32/Induc.A病毒。该病毒可以感染Delphi 4、5、6、7版本的编译文件,并且可以在编译时将自身源代码写入文件。下面是该病毒的详细信息: 病毒概况 ...
该方案还删除一些恶意软件进行了一些标准的防病毒扫描器忽略额外的系统修改。 Trojan Killer扫描所有的文件在启动时加载广告软件,间谍软件,远程访问木马,网络蠕虫和其他恶意软件,木马克星工程系统的安全性...
4、360安全卫士的实时保护不停检测到Trojan/Win32.SuperKiller.jcn之类的木马,同时在C:\DocumentsandSettings\用户名\LocalSettings\temp产生二三十个GIF格式文件。360安全卫士提示重启后可以删除.无效。
标题“Office病毒专杀”和描述中的“用于解决office(word,excel)安全模式等,病毒专用工具,专杀office病毒”都指向了一个关键问题:如何保护和恢复被病毒感染的Office文档。 首先,让我们理解什么是Office病毒。...
标题 "trojan-qt5.app.zip" 暗示我们正在处理一个可能包含恶意软件的压缩文件,其中的“trojan”一词通常用于指代特洛伊木马病毒。特洛伊木马是一种伪装成合法软件的恶意程序,用户在不知情的情况下下载并执行时,它...
trojan-qt5 for linux
Trojan is a stable and efficient mobile lightweight log SDK that not only records general logs, such as Http, power changes, component life cycles, but also records the definition of the log, which it...
安铁诺Trojan.VBS.StartPage.dy专杀 V2010.exe。针对1KB病毒
该互联网安全软件拥有领先的安全核心技术、EDR运营体系和成熟的产品,能够有效帮助个人和机构全面构建并升级系统安全防线,全方位抵御病毒、黑客和流氓软件的侵害,想知道火绒好用吗亲自试试就知道了,威航软件园提供...
增加5个变种的查杀,分别是Trojan.Win32.Undef.iqd,Trojan.Win32.Undef.pun,Trojan.Win32.Undef.kcq等 文件信息: Size: 148992 bytes File Version: 2.03 Modified: 2008年9月3日, 15:21:22 MD5: 0B85E5AFC3E...
该病毒属于Trojan.Generic.Is.536802类别,能够在感染计算机后对系统造成严重影响,如运行速度减慢、频繁蓝屏、错误提示以及自动重启等问题。 #### 二、病毒特征 1. **文件修改与生成:** 感染该病毒后,会在硬盘...
trojan
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Silentbanker.B%E3%80%82 YYara download https://github.com/VirusTotal/yara/releases/tag/v4.5.0 用户...
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Silentbanker.B%E3%80%82 YYara download https://github.com/VirusTotal/yara/releases/tag/v4.5.0 用户...