当前位置: SUCOP 超级巡警 >> 安全公告 >> 资讯阅读
Trojan-Downloader.Win32.Agent.utr(mas1.exe,ntdapi.sys)病毒分析
出处:超级巡警 时间:2008年07月10日12:24 查看:... 次
出处:超级巡警团队 时间:2008年07月01日
近日,由超级巡警团队监控数据显示,链接恶意程序Trojan-Downloader.Win32.Agent.utr的网马数量巨增。该程序利用驱动程序穿透还原软件,并下载大量游戏盗号木马。严重威胁了广大用户的隐私与利益,超级巡警团队提醒广大网友及时升级更新病毒库,查杀该恶意程序。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Downloader.Win32.Agent.utr
病毒类型:木马下载者
危害级别:3
感染平台:Windows
病毒大小:16,992(字节)
SHA1 :086abc1f7e4794f7beac76cb3558f2b5360093cf
加壳类型:UPack
开发工具:VC
病毒行为:
1、程序运行后,释放文件:
%Windir%\****.exe (7,284 字节)
//*为一位随机字母
//此文件伪造Windows版权信息,伪装为系统文件
%System%\drivers\ntdapi.sys (7,520 字节)
复制%Windir%\explorer.exe到%System%目录
2、加载驱动文件ntdapi.sys,并注册为服务Ntdapi。用来直接读写磁盘。
3、****.exe文件执行后
调用以下命令,关闭ESET Smart Security和NOD32程序:
taskkill /im ekrn.exe /f
taskkill /im egui.exe /f
taskkill /im nod32krn.exe /f
taskkill /im nod32kui.exe /f
4、读取文件http://cao.*****.com/down.txt,并根据该文件下载下列其他文件
http://111.*****.net/cao/aa1.exe
http://111.*****.net/cao/aa2.exe
http://111.*****.net/cao/aa3.exe
http://111.*****.net/cao/aa4.exe
http://111.*****.net/cao/aa5.exe
http://111.*****.net/cao/aa6.exe
http://222.*****.net/cao/aa7.exe
http://222.*****.net/cao/aa8.exe
http://222.*****.net/cao/aa9.exe
http://222.*****.net/cao/aa10.exe
http://222.*****.net/cao/aa11.exe
http://222.*****.net/cao/aa12.exe
http://444.*****.net/cao/aa13.exe
http://444.*****.net/cao/aa14.exe
http://444.*****.net/cao/aa15.exe
http://444.*****.net/cao/aa16.exe
http://444.*****.net/cao/aa17.exe
http://444.*****.net/cao/aa18.exe
http://555.*****.net/cao/aa19.exe
http://555.*****.net/cao/aa20.exe
http://555.*****.net/cao/aa21.exe
http://555.*****.net/cao/aa22.exe
http://555.*****.net/cao/aa23.exe
http://555.*****.net/cao/aa24.exe
http://111.*****.net/cao/aa25.exe
http://222.*****.net/cao/aa26.exe
http://444.*****.net/cao/aa27.exe
http://555.*****.net/cao/aa28.exe
将以上文件以“四位随机字母+数字”的命名方式另存到%System%目录,并执行
//以上文件均为游戏盗号木马
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.sucop.com
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
8、不要随便打开不明来历的电子邮件,尤其是邮件附件。
9、不要随意下载不安全网站的文件并运行。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
近日,由超级巡警团队监控数据显示,链接恶意程序Trojan-Downloader.Win32.Agent.utr的网马数量巨增。该程序利用驱动程序穿透还原软件,并下载大量游戏盗号木马。严重威胁了广大用户的隐私与利益,超级巡警团队提醒广大网友及时升级更新病毒库,查杀该恶意程序。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Downloader.Win32.Agent.utr
病毒类型:木马下载者
危害级别:3
感染平台:Windows
病毒大小:16,992(字节)
SHA1 :086abc1f7e4794f7beac76cb3558f2b5360093cf
加壳类型:UPack
开发工具:VC
病毒行为:
1、程序运行后,释放文件:
%Windir%\****.exe (7,284 字节)
//*为一位随机字母
//此文件伪造Windows版权信息,伪装为系统文件
%System%\drivers\ntdapi.sys (7,520 字节)
复制%Windir%\explorer.exe到%System%目录
2、加载驱动文件ntdapi.sys,并注册为服务Ntdapi。用来直接读写磁盘。
3、****.exe文件执行后
调用以下命令,关闭ESET Smart Security和NOD32程序:
taskkill /im ekrn.exe /f
taskkill /im egui.exe /f
taskkill /im nod32krn.exe /f
taskkill /im nod32kui.exe /f
4、读取文件http://cao.*****.com/down.txt,并根据该文件下载下列其他文件
http://111.*****.net/cao/aa1.exe
http://111.*****.net/cao/aa2.exe
http://111.*****.net/cao/aa3.exe
http://111.*****.net/cao/aa4.exe
http://111.*****.net/cao/aa5.exe
http://111.*****.net/cao/aa6.exe
http://222.*****.net/cao/aa7.exe
http://222.*****.net/cao/aa8.exe
http://222.*****.net/cao/aa9.exe
http://222.*****.net/cao/aa10.exe
http://222.*****.net/cao/aa11.exe
http://222.*****.net/cao/aa12.exe
http://444.*****.net/cao/aa13.exe
http://444.*****.net/cao/aa14.exe
http://444.*****.net/cao/aa15.exe
http://444.*****.net/cao/aa16.exe
http://444.*****.net/cao/aa17.exe
http://444.*****.net/cao/aa18.exe
http://555.*****.net/cao/aa19.exe
http://555.*****.net/cao/aa20.exe
http://555.*****.net/cao/aa21.exe
http://555.*****.net/cao/aa22.exe
http://555.*****.net/cao/aa23.exe
http://555.*****.net/cao/aa24.exe
http://111.*****.net/cao/aa25.exe
http://222.*****.net/cao/aa26.exe
http://444.*****.net/cao/aa27.exe
http://555.*****.net/cao/aa28.exe
将以上文件以“四位随机字母+数字”的命名方式另存到%System%目录,并执行
//以上文件均为游戏盗号木马
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.sucop.com
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
8、不要随便打开不明来历的电子邮件,尤其是邮件附件。
9、不要随意下载不安全网站的文件并运行。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
责任编辑:tou
评论本文
游客 发表于 2008-7-10 17:39
这个病毒我没中。
游客 发表于 2008-7-12 12:20
我家就中了,55555555555
