返回列表 发帖
h24arb 该用户已被删除
楼主 跳转到 » 倒序看帖
打印
tT
h24arb发表于 2006-1-14 10:52 | 只看该作者

[转帖]警惕木马下载者最新变种:Trojan-Downloader.Win32.Tibs.ai

转帖:警惕木马下载者最新变种:Trojan-Downloader.Win32.Tibs.ai
来自安天实验室:
http://www.antiy.com/index.htm
内容:
   本周提醒用户注意一个最新的木马下载类病毒:Trojan-Downloader.Win32.Tibs.ai,该病毒大小仅为4,977 字节,病毒运行后首先会复制自身到系统文件夹下,名为:%system%kernels64.exe,这个副本名称具有一定的迷惑性,多数用户会认为这是个系统文件,病毒还会修改感染主机的注册表文件,目的为:添加病毒副本到启动项、禁用windows的“任务管理器”,而后病毒还会通过系统命令“netsh firewall set allowedprogram %s enable”更改用户的防火墙设置,从而使得该病毒能够访问网络,病毒会尝试访问地址:http://85.255.***.242/adv/soft1,尝试下载以下5个病毒相关文件到感染主机上运行:
  http://85.255.***.242/adv/soft1/search1.exe
  http://85.255.***.242/adv/soft1/winlogon1.exe
  http://85.255.***.242/adv/soft1/tibs1.exe
  http://85.255.***.242/adv/soft1/tool.exe
  http://85.255.***.242/adv/soft1/proxy.exe
而后将这些病毒相关文件分别放置到%temp%和%system%目录下:
  %TEMP%\1.qtdfmp
  %TEMP%\2.qtdfmp
  %TEMP%\5.qtdfmp
  %TEMP%\6.qtdfmp
  %TEMP%\7.qtdfmp
  %SYSTEM%\vxh8jkdq1.exe
  %SYSTEM%\vxh8jkdq2.exe
  %SYSTEM%\vxh8jkdq5.exe
  %SYSTEM%\vxh8jkdq6.exe
  %SYSTEM%\vxh8jkdq7.exe
该病毒对用户有一定的危害,详细分析还请广大用户参看:Trojan-Downloader.Win32.Tibs.ai分析
清除方案:
1、删除病毒释放的文件:
  %system%kernels64.exe
  %TEMP%\1.qtdfmp
  %TEMP%\2.qtdfmp
  %TEMP%\5.qtdfmp
  %TEMP%\6.qtdfmp
  %TEMP%\7.qtdfmp
  %SYSTEM%\vxh8jkdq1.exe
  %SYSTEM%\vxh8jkdq2.exe
  %SYSTEM%\vxh8jkdq5.exe
  %SYSTEM%\vxh8jkdq6.exe
  %SYSTEM%\vxh8jkdq7.exe
2、恢复病毒修改的注册表项目,删除病毒添加的注册表项:
删除以下键值:
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
键值:字串:"System" = "%SYSTEM%\kernels64.exe"
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
键值:字串:"SystemTools" = "%SYSTEM%\kernels64.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System
键值:字串:"DisableTaskMgr" = 1
修改以下键值:
HKEY_LOCAL_METHINE\Software\Microsoft\Windows NT
\CurrentVersion\Winlogon
键值:字串:"Shell" = "Explorer.exe %SYSTEM%\kernels64.exe"
改为:
HKEY_LOCAL_METHINE\Software\Microsoft\Windows NT
\CurrentVersion\Winlogon
键值:字串:"Shell" = "Explorer.exe"
安天应急处理小组郑重提醒广大用户:
1.及时安装系统补丁。
2.不要随意点击来自论坛和即时通讯工具的连接,更不要执行远方传输来的可执行程序,不要轻信相关说明,形成二次传播。
3.使用安天木马防线2005+,木马防线全自动升级,可以为你的系统提供透明的保护。

附:
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+:
  木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀: 
    采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
    提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
实时网络防护:
    全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。
收藏 分享

返回列表 回复 发帖