超级巡警团队监测到一个反云查杀木马下载器(Trojan-Downloader.Win32.AntiAV.cs)正在传播。病毒运行后,复制自身到系统目录下并通过修改注册表项来达到病毒随机启动的,同时劫持多款杀毒软件,并试图关闭多种反病毒工具,其中包括超级巡警云查杀,超级巡警建议用户使用超级巡警来防御查杀此类木马。同时提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析
病毒标签:
病毒名称:Trojan-Downloader.Win32.AntiAV.cs
病毒类型:木马下载者
危害级别:4
感染平台:Windows
S H A 1 :6e0205a14552a8b63520af326c71d16951143607
病毒大小:42,661字节
加壳类型:UPX
开发工具:dephi
病毒行为:
1.释放病毒副本,并隐藏病毒母体:
拷贝病毒文件自身到%System%下,并重命名为keepSafe.exe
2.修改注册表项来随机自启动:
注册表项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
数值名称:ilortgdg
数值数据:%System%keepSafe.exe
注册表项:HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
数值名称:ilortgdg
数值数据:%System%keepSafe.exe
注册表项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
数值名称:deryheruxc
数值数据:%System%keepSafe.exe
注册表项:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explore\run
数值名称:TXMouie
数值数据:%System%keepSafe.exe
3.将各种杀毒软件和regedit.exe劫持为病毒副本keepSafe.exe,阻止杀软和regedite的运行:
360rpt.exe、AgentSvr.exe AppSvc32.exes autoruns.exe avgrssvc.exe AvMonitor.exe avp.exe CCenter.exe ccSvcHst.exe FileDsty.exe FileDsty.exe FTCleanerShell.exe FTCleanerShell.exeHijackThis.exe IceSword.exe iparmo.exe iparmo.exe Iparmor.exe isPwdSvc.exe kabaload.exe kabaload.exe KASMain.exe KASTask.exe KAV32.exe KAV32.exe KAVDX.exe KAVPFW.exe KAVSetup.exe KAVSetup.exe KAVStart.exe KISLnchr.exe KMailMon.exe KMailMon.exe KMFilter.exe KPFW32.exe KRegEx.exe KsLoader.exe KvDetect.exe KvfwMcl.exe KvfwMcl.exe kvol.exe kvolself.exe KVSrvXP.exe KVSrvXP.exe kvupload.exe kvupload.exe kvwsc.exe KWatch.exe loaddll.exe MagicSet.exe mcconsol.exe mmqczj.exe mmsk.exe NAVSetup.exe nod32krn.exe nod32kui.exe PFWLiveUpdate.exe QHSET.exe Ras.exe RavMon.exe RavStub.exe RavTask.exe RegClean.exe rfwcfg.exe RfwMain.exe rfwsrv.exe rfwsrv.exe RsAgent.exe Rsaupd.exe Rsaupd.exes runiep.exe safelive.exe scan32.exe shcfg32.exe SmartUp.exe SmartUp.exe SREng.exe symlcsvc.exe SysSafe.exe TrojanDetector.exe Trojanwall.exe UIHost.exe UmxAgent.exe UmxAttachment.exe UmxFwHlp.exe UmxPol.exe UpLive.EXE zxsweep.exe sos.exe auto.exe UFO.exe AutoRun.exe taskmgr.exe guangd.exe appdllman.exe kernelwind32.exe logogo.exe TNT.Exe SDGames.exe TxoMoU.Exe cross.exe regedit.Exe regedit32.Exe Wsyscheck.exe servet.exes Discovery.exe pagefile.exe niu.exe ~.exe AoYun.exe
4.修改注册表键值来隐藏文件,破坏文件显示隐藏:
注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
数值名称:CheckedVALUE
数值数据:0
5.从hxxp://www.v1srine.cn/List.txt获取病毒下载列表,并下载执行其中所有的病毒木马:
6.试图关闭含有以下窗口字样的反病毒程序:
木马
FireWall
AntiVirus
超级巡警
NOD32
瑞星
监视
Sniffer
DeBug
IDA
fly
二、解决方案:
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://a1.sucop.com/ast_setup.exe
手工清除方法:
1、删除以下文件:
%System%\keepSafe.exe
2、删除以下注册表值:
注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
数值名称:TXMouie
数值数据: %System%\KeepSafe.exe
注册表项:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
数值名称:ilortgdg
数值数据:%System%\keepSafe.exe
注册表项:HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
数值名称:ilortgdg
数值数据:%System%\keepSafe.exe
注册表项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
数值名称:deryheruxc
数值数据:%System%\keepSafe.exe
3、手动修改以下注册表:
注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
数值名称:CheckedValue
数值数据:1
4、使用超级巡警删除keepSafe.exe启动项。
5、使用超级巡警修复被木马映象劫持的所有项。
6、重启电脑。
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设 置为可写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
8、不要使用IE内核的浏览器。
9、不要随便打开不明来历的电子邮件,尤其是邮件附件。
10、不要随意下载不安全网站的文件并运行。
11、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区