返回列表 发帖
h24arb 该用户已被删除
楼主 跳转到 » 正序看帖
打印
tT
h24arb发表于 2006-1-16 11:40 | 只看该作者

[转帖]警惕木马Trojan-Downloader.Win32.Tibs.ai

转帖:警惕木马Trojan-Downloader.Win32.Tibs.ai
来自安天实验室:
http://www.antiy.com/index.htm
病毒标签:
病毒名称: Trojan-Downloader.Win32.Tibs.ai
病毒类型: 木马
文件 MD5: E5431730827590A8A22576F81A0BE85D
公开范围: 完全公开
危害等级: 中
文件长度: 4,977 字节
感染系统: windows 98及以上版本
开发工具: LCC Win32 1.x -> Jacob Navia
加壳类型: Fsg 2.0
命名对照: Symentec[无]
      Mcafee[无]

病毒描述:
    该病毒属木马下载类,病毒运行后首先复制自身为%system%kernels64.exe,修改注册表文件,禁用任务管理器,添加到启动项、winlogon项,从而达到随系统、explorer.exe启动的目的,而后病毒会通过netsh命令,修改系统设置,并尝试连接地址:85.255.***.242,下载病毒体到本地%tmp%目录下,而后又复制到%system%目录,并运行。该病毒对用户有一定的危害。

行为分析:
1、病毒运行后复制自身到:%system%kernels64.exe
2、修改注册表文件:
添加启动项:
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
键值:字串:"System" = "%SYSTEM%\kernels64.exe"
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
键值:字串:"SystemTools" = "%SYSTEM%\kernels64.exe"
修改winlogon项:
HKEY_LOCAL_METHINE\Software\Microsoft\Windows NT
\CurrentVersion\Winlogon
键值:字串:"Shell" = "Explorer.exe %SYSTEM%\kernels64.exe"
禁用“任务管理器”:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System
键值:字串:"DisableTaskMgr" = 1
3、通过命令“netsh firewall set allowedprogram %s enable”改变系统设置,使得该病毒能够访问网络,而后病毒尝试从以下地址下载病毒相关文件并执行:
  http://85.255.***.242/adv/soft1/search1.exe
  http://85.255.***.242/adv/soft1/winlogon1.exe
  http://85.255.***.242/adv/soft1/tibs1.exe
  http://85.255.***.242/adv/soft1/tool.exe
  http://85.255.***.242/adv/soft1/proxy.exe
先将以上文件下载到:
  %TEMP%\1.qtdfmp
  %TEMP%\2.qtdfmp
  %TEMP%\5.qtdfmp
  %TEMP%\6.qtdfmp
  %TEMP%\7.qtdfmp
而后将这些文件复制到:
  %SYSTEM%\vxh8jkdq1.exe
  %SYSTEM%\vxh8jkdq2.exe
  %SYSTEM%\vxh8jkdq5.exe
  %SYSTEM%\vxh8jkdq6.exe
  %SYSTEM%\vxh8jkdq7.exe
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
 (1) 通过安天木马防线中“进程管理”结束该病毒进程。
 (2) 删除病毒文件:
   %system%kernels64.exe
   %TEMP%\1.qtdfmp
   %TEMP%\2.qtdfmp
   %TEMP%\5.qtdfmp
   %TEMP%\6.qtdfmp
   %TEMP%\7.qtdfmp
   %SYSTEM%\vxh8jkdq1.exe
   %SYSTEM%\vxh8jkdq2.exe
   %SYSTEM%\vxh8jkdq5.exe
   %SYSTEM%\vxh8jkdq6.exe
   %SYSTEM%\vxh8jkdq7.exe
 (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
  删除以下键值:
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
键值:字串:"System" = "%SYSTEM%\kernels64.exe"
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
键值:字串:"SystemTools" = "%SYSTEM%\kernels64.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System
键值:字串:"DisableTaskMgr" = 1
修改以下键值:
HKEY_LOCAL_METHINE\Software\Microsoft\Windows NT
\CurrentVersion\Winlogon
键值:字串:"Shell" = "Explorer.exe %SYSTEM%\kernels64.exe"
改为:
HKEY_LOCAL_METHINE\Software\Microsoft\Windows NT
\CurrentVersion\Winlogon
键值:字串:"Shell" = "Explorer.exe"

附:
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+:
  木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀: 
    采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
    提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
实时网络防护:
    全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。
收藏 分享

返回列表 回复 发帖