当前位置: SUCOP 超级巡警 >> 安全公告 >> 资讯阅读

 

Trojan-GameThief.Win32.OnLineGames.tags(ntkapi.sys,debug.exe,taskmgr.exe)分析报告

出处:超级巡警 时间:2008年09月03日10:33 查看:...
          
      超级巡警团队监测到恶意程序Trojan-GameThief.Win32.OnLineGames.tags会修改系统文件debug.exet和taskmgr.exe;通过直接读写磁盘来穿透还原软件;还会下载其他大量恶意程序,盗取用户敏感信息。超级巡警团队提醒广大用户及时更新病毒库,对该程序进行有效查杀。
 
 
一、病毒相关分析:

      病毒标签:
          病毒名称:Trojan-GameThief.Win32.OnLineGames.tags
          病毒类型:木马
          危害级别:3
          感染平台:Windows
          病毒大小:15,956(字节)
          S H A 1  :b7628789c87f07c1574cc9c0828edb87e5dceeac
          加壳类型:UPack
          开发工具:Microsoft Visual C++

     病毒行为:
           1、释放文件:
     %Windir%*.exe        //*为四位随机字母   
     %System%driversntkapi.sys 
     修改文件:
     %System%dllcachetaskmgr.exe  
          2、加载驱动文件ntkapi.sys,直接读写磁盘;
     用恶意代码直接写入文件%System%debug.exe。
          2、程序*.exe执行后,会停止服务:ekrn、NOD32krn;
     调用taskkill.exe终止以下进程:
     ekrn.exe、egui.exe、nod32krn.exe、nod32kui.exe。
          3、通过连接www.google.cnwww.baidu.com来测试是否处于联网状态;
    
         如果可以访问网络,则下载并执行以下文件:

        http://111.*****.net/cao/aa1.exe
        http://111.*****.net/cao/aa2.exe
        http://111.*****.net/cao/aa3.exe
        http://111.*****.net/cao/aa4.exe
        http://111.*****.net/cao/aa5.exe
        http://111.*****.net/cao/aa6.exe
        http://111.*****.net/cao/aa7.exe
        http://111.*****.net/cao/aa8.exe
        http://222.*****.net/cao/aa9.exe
        http://222.*****.net/cao/aa10.exe
        http://222.*****.net/cao/aa11.exe
        http://222.*****.net/cao/aa12.exe
        http://222.*****.net/cao/aa13.exe
        http://222.*****.net/cao/aa14.exe
        http://222.*****.net/cao/aa15.exe
        http://222.*****.net/cao/aa16.exe
        http://333.*****.net/cao/aa17.exe
        http://333.*****.net/cao/aa18.exe
        http://333.*****.net/cao/aa19.exe
        http://333.*****.net/cao/aa20.exe
        http://333.*****.net/cao/aa21.exe
        http://333.*****.net/cao/aa22.exe
        http://333.*****.net/cao/aa23.exe
        http://333.*****.net/cao/aa24.exe
        http://444.*****.net/cao/aa25.exe
        http://444.*****.net/cao/aa26.exe
        http://444.*****.net/cao/aa27.exe
        http://444.*****.net/cao/aa28.exe
        http://444.*****.net/cao/aa29.exe
        http://444.*****.net/cao/aa30.exe
        http://444.*****.net/cao/aa31.exe
        http://444.*****.net/cao/aa32.exe
        http://444.*****.net/cao/aa33.exe
        http://444.*****.net/cao/aa34.exe

  
二、解决方案

       推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
     超级巡警下载地址:http://www.sucop.com/download/16.html

       手工清除方法:
           1、结束病毒进程。打开超级巡警,选择进程管理功能,终止*.exe进程。        
           2、删除病毒生成的文件。
           3、删除病毒的启动项。打开超级巡警,选择启动管理,删除可疑的启动项。
           4、替换回正常的系统文件taskmgr.exe和debug.exe。
 
 三、安全建议
        1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
        2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
        3、使用超级巡警的补丁检查功能,及时安装系统补丁。
        4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设  置为可写或可控制。               5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
        6、禁用不必要的服务。
        7、及时更新常用软件,尤其是聊天工具。
 
  注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它:

       %SystemDrive%                    系统安装的磁盘分区
       %SystemRoot% = %Windir%     WINDODWS系统目录
       %ProgramFiles%              应用程序默认安装目录
       %AppData%                          应用程序数据目录
       %CommonProgramFiles%         公用文件目录
       %HomePath%                       当前活动用户目录
       %Temp% =%Tmp%              当前活动用户临时目录
       %DriveLetter%                      逻辑驱动器分区
       %HomeDrive%                    当前用户系统所在分区
 
 
      超级巡警:彻底查杀各种木马,全面保护系统安全。
      更多免费工具下载:http://www.sucop.com
      专业的桌面与内容安全产品:  http://www.unnoo.com
责任编辑:果果

平均:5.0分(2 次)

-5 -4 -3 -2 -1 0 1 2 3 4 5

评论本文

  • 评论主题:
  • 您的大名: 留空为匿名
  • 您的主页:
  • 您的邮箱:

  • 评论内容不能为空

  • ReDale 发表于 2008-9-3 11:23

    哈哈,明天就感染了这个病毒,害得我杀了半天,这个病毒还把该死的机器狗也下载了,真服了!
    这个目前还没有专门查杀工具!

  • ReDale 发表于 2008-9-3 11:23

    不好意思,说错了,是昨天!

ٶȴ֤ɫԱ