病毒资料:W32/Banker.AFJ!tr | |||||||||
基本信息 | |||||||||
病毒名称: | W32/Banker.AFJ!tr | 类型: | 木马 | 长度: | 256614 | 威胁级别: | 2 | 捕获日期: | 2006-03-20 |
其它别名: | Trojan-Dropper.Win32.Delf.ub,Troj/CashGrab-O,PWSteal.Tarno.T | 影响系统: | Windows 9X,Windows 2K,Windows XP | ||||||
表现特征 | |||||||||
1、系统目录 %SYSTEM% 下存在下列文件: guisetup.exe msupdate.dll wint.ini ierror.rep sui.dll sei.dll 2、存在下列文件夹: C:\cardon %SYSTEM%\suact %SYSTEM%\sucontr %SYSTEM%\suskn 3、如果有 IE 浏览器在运行,则会被关闭; | |||||||||
行为分析 | |||||||||
1、这是一个 PE 病毒,病毒文件使用 ASPack 加壳,加壳后大小为 256,614 字节; 2、判断当前是否有 IE 浏览器在运行,若有则关闭之; 3、释放出下列文件: %SYSTEM%\msupdate.dll (BHO 插件,Fortinet 命名为 W32/CashGrab.O!tr) %SYSTEM%\guisetup.exe (恶意程序,Fortinet 命名为 W32/Banker.AFJ!tr) msupdate.dll 行为分析如下: a) 试图从下列网址下载文件并执行: http://risedstones.com (此网址已被屏蔽) b) 监控用户对下列网址的访问: olb2.nationet.com/MyAccounts ibank.barclays.co.uk/onlb/q/LoginPasscode olb2.nationet.com/MyAccounts/ ibank.barclays.co.uk/olb/q/LoginPasscode welcome6.co-operativebank.co.uk/CBIBSWeb/loginSpi.do barclays.com olb2.nationet.co.uk co-operativebank.com barclays.co.uk webbank.openplan.co.uk ...... 注:由于列表过长,故省略部分; c) 监控用户对包含下列字符串的网址的访问: gold cash bank pas log user usr pwd psw parol firma pin clave trans porcue memorable secret d) 截获用户在上述网址中的所有键盘和鼠标操作,将这些信息分类保存在: %SYSTEM%\wint.ini %SYSTEM%\ierror.rep %SYSTEM%\sui.dll %SYSTEM%\sei.dll e) 创建下列文件夹: %SYSTEM%\suskn %SYSTEM%\sucontr %SYSTEM%\suact f) 将所窃取的全部信息提交到下列网址: http://oxygunn.com/aerodrom/ (此网址已被屏蔽) 4、运行释放出的文件 %SYSTEM%\guisetup.exe,注册 BHO 插件 msupdate.dll,此时会创建下列注册表项: HKCR\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A} HKCR\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}\InprocServer32 "(Default)" = "%SYSTEM%\msupdate.dll" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {3A4E6FF3-BF59-446E-9DC8-731BCE2F349A} HKCR\msupdate.Microsoft Update Service 5、在当前目录下生成批处理脚本 setup.cmd 并运行,删除病毒文件及自身; 6、创建文件夹 C:\cardon; | |||||||||
清除方法 | |||||||||
1、若 IE 浏览器在运行,则首先将其关闭, 使用如下命令: regsvr32 /u msupdate.dll 注销 BHO 插件, 删除病毒释放或创建的所有文件及文件夹; 2、由于该病毒会下载其它程序运行,建议使用杀毒软件彻底扫描整个系统; | |||||||||
防范措施 | |||||||||
经常更新FortiGate防火墙的病毒特征库,必要时允许服务器推送式升级; |
正文
[病毒资料之二]guisetup.exe进程病毒(转)2006-08-13 01:01:00
【评论】 【打印】 【字体:大 中 小】 本文链接:http://blog.pfan.cn/fengfei/17528.html
阅读(3311) | 评论(0)
版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!
评论