[转帖]警惕木马Trojan.Win32.myrunner
转帖:警惕木马Trojan.Win32.myrunner
来自安天实验室:
http://www.antiy.com/index.htm
病毒标签:
病毒名称: Trojan.Win32.myrunner
病毒类型: 木马
文件 MD5: D4B3279DDA7721040936CF735A3B9B9A
公开范围: 完全公开
危害等级: 中
文件长度: 26,575 字节
感染系统: windows 98 及以上版本
开发工具: Visual C++ 6.0
加壳类型: 未知壳
命名对照: Symentec[无]
Mcafee[无]
病毒描述:
该病毒属木马类,病毒主要通过即时通讯工具oicq传播,属qq尾巴,病毒主要盗取oicq的账号和密码。病毒运行后会弹出一个消息框,病毒运行后首先会查找注册表中是否有以下键值:HKEY_LOCAL_METHINE\Software\Classes\MSipv\MainVer,如果有则不会感染系统,若没有则会新建以上键值。若系统没有被感染,则复制自身到系统目录下,继续修改注册表文件,添加启动项。病毒还会尝试删除某些病毒的启动项,病毒通过查找到的oicq目录,复制自身到该目录下。病毒运行后会给在线的好友发送病毒副本,诱骗用户接收并运行。该病毒对用户有一定的危害。
行为分析:
1、病毒运行后会弹出一个消息框,借以欺骗用户:
“安装时检测到系统中某程序与本软件发生冲突,请先纠正该冲突,或选择另一台电脑上安装!”
2、病毒运行后首先会查找注册表文件以下键值,该键值作为主机是否被感染的标志。
HKEY_LOCAL_METHINE\Software\Classes\MSipv\MainVer
尝试复制自身到以下位置:
HKEY_LOCAL_METHINE\Software\Microsoft\Windows
\CurrentVersion\Run
键值:字串:%System%\.exe
HKEY_LOCAL_METHINE \Software\Microsoft\Windows
\CurrentVersion\RunServices
键值:字串:%System%\.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
键值:字串:%System%\notepad.exe
HKEY_CURRENT_USER \Software\Microsoft\Windows
\CurrentVersion\RunServices
键值:字串:%System%\notepad.exe
3、复制自身到系统目录下:
"%WINDIR%\.exe"
"%WINDIR%\notepad.exe
"%WINDIR%rundll32.exe
4、尝试删除注册表启动项目中某些病毒的键值,如:
iexplore.exe
IEXPLORE .EXE
mssysint.exe
mspsint.exe
……
5、尝试复制自身到oicq安装目录,将正常文件TIMPlatform.exe重名名为:TIMP1atform.exe,将病毒副本复制到此命名为:TIMPlatform.exe
6、给在线好友发送消息,信息可能为:
好漂亮的动画哦,可以打开看看吧.exe
一个对你目前工作很有帮助的好东东.exe
你一定需要的工作资料(网上找到的).exe
接啊,快接啊,推荐给你看看.exe
QQTalk(QQ聊天秘籍,给你看看吧).exe
网上电视(20个CCTV频道+36个省台+50个英文台,极力推荐).exe
啊哈,网友发的超级搞笑FLASH,你看得懂吗.exe
笑死我了,你看过这个FLASH吗.exe
今年过年不收礼,收礼只收白骨精(搞笑版广告).exe
超级MM,超级FLASH,请你笑纳.exe
腾讯QQ特殊使用技巧之动画教程(对你一定很有用的).exe
网上听收音机(调到第5个频道,我们边聊边听吧).exe
在线收音机(我们一起听听第6个频道吧,来探讨这个话题).exe
看看我的高清晰视频图像,比QQ自带的强10倍.exe
你先看看我用静态照片制作成的MTV吧,我马上回来.exe
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用“任务管理器”关闭病毒进程
(2) 删除病毒释放的相关文件:
%System%\.exe
%System%\notepad.exe
%Windows%\System\RUNDLL32.EXE
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项:
HKEY_LOCAL_METHINE\Software\Microsoft\Windows
\CurrentVersion\Run
键值:字串:%System%\.exe
HKEY_LOCAL_METHINE \Software\Microsoft\Windows
\CurrentVersion\RunServices
键值:字串:%System%\.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
键值:字串:%System%\notepad.exe
HKEY_CURRENT_USER \Software\Microsoft\Windows
\CurrentVersion\RunServices
键值:字串:%System%\notepad.exe
附:
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+:
木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀:
采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
实时网络防护:
全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。 |
