Trojan-Downloader.Win32.Small.hlw(kkk.exe,setup.exe,sss.exe)病毒分析

出处：超级巡警时间:2008年08月01日15:02 查看:... 次超级巡警

超级巡警团队监控数据表明，很多恶意挂马网站会链接该恶意程序。该恶意程序会映像劫持大量安全工具及部份恶意程序，还会下载大量盗取帐号、密码的恶意程序。超级巡警团队提示广大用户及时更新病毒库，以便更好的防御或查杀此类恶意程序。

一、病毒相关分析：

        病毒标签：
        病毒名称：Trojan-Downloader.Win32.Small.hlw
        病毒类型：木马
        危害级别：3
        感染平台：Windows
        病毒大小：44,936(字节)
        SHA1　　：8fe3bc254f62bd38ac4379e66186e8378c4204b3
        加壳类型：Upack
        开发工具：Delphi

        病毒行为：
        1、程序运行后以NTDUBECT.EXE为文件名复制自身到各系统磁盘根目录并释放setup.exe(2,041 字节)到%temp%目录。

2、调用taskkill.exe结束进程nod32krn.exe、egui.exe、ekrn.exe，调用sc.exe设置服务ekrn、NOD32krn为禁用，调用net stop结束以下服务：
　　　　　 "Security Center"
　　　　　 "Windows Firewall/Internet Connection Sharing (ICS)"
　　　　　 "System Restore Service"

3、执行setup.exe后，下载文件http://www.*****.net.cn/sss.exe。(Trojan-Downloader.Win32.Losabel.abn)。

        4、执行sss.exe后，映像劫持以下文件
　　　   //其中不仅会劫持大量安全工具，也会一些恶意程序进行劫持，防止其他恶意程序干扰其工作
　　　   shadowservice.exe、shadowtip.exe、avp.exe、360rpt.exe、360Safe.exe、
　　　   360tray.exe、 adam.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、avgrssvc.exe、
　　　   AvMonitor.exe、avp.exe、CCenter.exe、ccSvcHst.exe、FileDsty.exe、
　　　   HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、isPwdSvc.exe、
　　　   KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPFW.exe、KAVSetup.exe、
　　　   KAVStart.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、
　　　   KPFWSvc.exe、KRegEx.exe、KsLoader.exe、KvDetect.exe、KvfwMcl.exe、kvol.exe、
　　　   kvolself.exe、KVSrvXP.exe、kvupload.exe、kvwsc.exe、KWatch.exe、KWatch9x.exe、
　　　   KWatchX.exe、loaddll.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、
　　　   NAVSetup.exe、nod32krn.exe、nod32kui.exe、PFW.exe、PFWLiveUpdate.exe、
　　　   Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe、 RavStub.exe、RavTask.exe、
　　　   RegClean.exe、rfwcfg.exe、RfwMain.exe、rfwProxy.exe、rfwsrv.exe、RsAgent.exe、
　　　   Rsaupd.exe、runiep.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、
　　　   SREng.exe、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、
　　　   UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、
　　　   UpLive.EXE、WoptiClean.exe、zxsweep.exe、sos.exe、auto.exe、UFO.exe、
　　　   XP.exe、taskmgr.exe、guangd.exe、appdllman.exe、kernelwind32.exe、logogo.exe、
　　　   TNT.Exe、SDGames.exe、TxoMoU.Exe、cross.exe、regedit.Exe、regedit32.Exe、
　　　   Wsyscheck.exe、servet.exe、Discovery.exe、pagefile.exe、niu.exe、~.exe、AoYun.exe、
　　　   StopAorw.exe、StopAorw.exe、StopAorw.exe、ravmon.exe、avp.exe、ravmond.exe、
　　　   ravmon.exe、rav.exe、RavTask.exe、RavStub.exe、CCenter.exe、RavMonD.exe、
　　　   RavMon.exe、Rav.exe、360rpt.exe、360Safe.exe、360tray.exe、rfw.exe、
　　　   ntoskrnl.exe、adffgh785v.exe、QHSET.exe、AutoRun.exe、UIHost.exe、
　　　   FTCleanerShell.exe、kabaload.exe、KPFW32X.exe、
　　　   修改系统隐藏属性，使隐藏文件不可见

二、解决方案
    推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
　    　　　超级巡警下载地址：http://www.sucop.com/download/16.html
    手工清除方法：
         1、结束恶意程序进程。打开超级巡警，选择进程管理功能，终止进程kkk.exe,setup.exe,sss.exe。
         2、删除以上提到的恶意程序生成的文件。
         3、修复安全模式启动/映象劫持。打开超级巡警，点安全优化，选择系统修复，选中修复安全模式启动/映象劫持，修复即可。
         4、升级到最新的超级巡警病毒库，清理下载的其他恶意程序。

三、安全建议

　　     1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　     2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。
　　     3、使用超级巡警的补丁检查功能，及时安装系统补丁。
　　     4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设置为可写
　　　　　或可控制。
　　     5、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。
　　     6、禁用不必要的服务。
　　     7、及时更新常用软件，尤其是聊天工具。
　

注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%System，在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它：
　　     %SystemDrive% 　　     　　　　      系统安装的磁盘分区
　　     %SystemRoot% = %Windir% 　　　 WINDODWS系统目录
　　     %ProgramFiles%　　　　　　　　    应用程序默认安装目录
　　     %AppData% 　　     　　    　　　     应用程序数据目录
　　     %CommonProgramFiles%　　         公用文件目录
　　     %HomePath% 　　     　　                 当前活动用户目录
　　     %Temp% =%Tmp% 　　     　　      当前活动用户临时目录
　　     %DriveLetter% 　　     　　             逻辑驱动器分区
　　     %HomeDrive% 　　　     　　           当前用户系统所在分区

责任编辑:yzh

current rating
-5
-4
-3
-2
-1
0
1
2
3
4
5

平均:0.0分(0 次)

-5 -4 -3 -2 -1 0 1 2 3 4 5

顶一下

Trojan-Downloader.Win32.Small.hlw(kkk.exe,setup.exe,sss.exe)病毒分析

评论本文

相关资讯

顶得最多

热门评论