正文

[病毒资料之六]guisetup.exe进程病毒2006-08-15 00:32:00

【评论】 【打印】 【字体: 】 本文链接:http://blog.pfan.cn/fengfei/17582.html

分享到:

病毒资料:W32/Banker.AFJ!tr
基本信息
病毒名称: W32/Banker.AFJ!tr 类型: 木马 长度: 255590 威胁级别: 2 捕获日期: 2006-03-01
其它别名: Trojan-Dropper.Win32.Agent.ajk,PWSteal.Tarno.S,W32/Banker.IWP dropper 影响系统: MS-Windows
表现特征
1. 病毒文件运行后消失;
2. 若用户正在使用 IE ,IE 会关闭;
3. %SYSTEM% 目录下存在文件 msupdate.dll 和 guisetup.exe。
行为分析
1. 这是一个 PE 病毒,使用 Pe_Patch 和 Aspack 加壳,加壳后长度为 255,590 字节;

2. 试图关闭已经打开的 Internet Explorer 浏览器;

3. 试图释放文件 %SYSTEM%\msupdate.dll,%SYSTEM%\svchost.dll(相同文件),病毒名 W32/Banker.AFJ!tr;
   试图释放文件 %SYSTEM%\guisetup.exe,%SYSTEM%\winsetup.exe(相同文件),病毒名 Spy/BDoor;
   并运行 guisetup.exe;

4. 创建目录 c:\cardon,%SYSTEM%\suskn,%SYSTEM%\sucontr,%SYSTEM%\suact;

5. 删除自身。

6. msupdate.dll 和 guisetup.exe 分析如下:

   a) 创建注册表项 

           HKEY_CLASSES_ROOT\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}

           HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper 
                              Objects\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}

      并设置子键

           " InprocServer32 " = " %SYSTEM%\msuptate.dll " ;

   b) 监视含有下列字符串的窗口或者网页,截获用户的操作,窃取用户的帐号和密码:

           gold 
           cash 
           bank 
           pas 
           log 
           user 
           usr 
           pwd 
           psw 
           pw 
           parol 
           firma 
           pin 
           clave 
           trans 
           ...

   c) 创建下列文件并写入收集到的用户信息:

            %SYSTEM%\winte.html 
            %SYSTEM%\wint.ini 
            %SYSTEM%\ierror.rep 
            %SYSTEM%\sui.dll 
            %SYSTEM%\sei.dll

   d) 将搜集到的用户信息发送给病毒作者;

清除方法
1. 删除相关的病毒文件;
2. 打开注册表编辑器,删除病毒的注册表相关项;
3. 建议更新防毒软件病毒库至最新,全盘扫描系统。

阅读(3493) | 评论(0)


版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!

评论

暂无评论
您需要登录后才能评论,请 登录 或者 注册