本文目录一览:
- 1、急!!如何快速、干净的杀除“系统幽灵”木马病毒?
- 2、手机中了木马病毒幽灵推怎么办?
- 3、关于系统幽灵木马
- 4、“空格幽灵”木马病毒造成的空格键失灵究竟是做了什么手脚?如何手动修复?还有限制关机的问题
- 5、幽灵推病毒怎样查杀啊?有哪个软件可以?
- 6、手机版360卫士是否能查杀幽灵锥木马病毒?
急!!如何快速、干净的杀除“系统幽灵”木马病毒?
流氓软件“幽灵”档案:
名称:幽灵
行为追踪:“幽灵”运行后可将自己拷贝到%ProgramFiles%Common Files23OSA.EXE中,并释放 23OFFICE.dll、23MsOffTDI.sys、23AnRegProt.sys等3个病毒文件,之后添加一个快捷方式到C: Documents and SettingsAll Users开始菜单程序启动Microsoft Office 23.lnk,使病毒能随 Windows启动。
三大危害:
1. 破坏系统安全模式
删除安全模式的注册表键值,使用户无法进入安全模式,即使强行进入,也会导致系统蓝屏崩溃
2. 阻止IceSwrod启动
阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod无法启动
3. 下载大量广告程序与病毒文件
开启一个IE进程,读取网址http://t1.*******.net/jw/ini/rules.ini上的内容,并从该址下载广告程序和病毒文件。
专家建议:
1.网络下载并安装某些小软件的过程中,一定要仔细阅读每一步的安装说明,以防流氓软件捆绑传播
2.不登陆一些不知名的小网站,以免流氓软件利用网页进行传播
3.安装正版杀毒软件或流氓软件专杀工具,并进行实时升级
系统幽灵专杀工具下载地址:
手机中了木马病毒幽灵推怎么办?
建议下载安装360手机急救箱,用它查杀处理手机病毒,然后重启手机就可以解决。
关于系统幽灵木马
流氓软件“幽灵”档案:
名称:幽灵
行为追踪:“幽灵”运行后可将自己拷贝到%ProgramFiles%Common Files23OSA.EXE中,并释放 23OFFICE.dll、23MsOffTDI.sys、23AnRegProt.sys等3个病毒文件,之后添加一个快捷方式到C: Documents and SettingsAll Users开始菜单程序启动Microsoft Office 23.lnk,使病毒能随 Windows启动。
三大危害:
1. 破坏系统安全模式
删除安全模式的注册表键值,使用户无法进入安全模式,即使强行进入,也会导致系统蓝屏崩溃
2. 阻止IceSwrod启动
阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod无法启动
3. 下载大量广告程序与病毒文件
开启一个IE进程,读取网址http://t1.*******.net/jw/ini/rules.ini上的内容,并从该址下载广告程序和病毒文件。
专家建议:
1.网络下载并安装某些小软件的过程中,一定要仔细阅读每一步的安装说明,以防流氓软件捆绑传播
2.不登陆一些不知名的小网站,以免流氓软件利用网页进行传播
3.安装正版杀毒软件或流氓软件专杀工具,并进行实时升级
系统幽灵专杀工具下载地址:
“空格幽灵”木马病毒造成的空格键失灵究竟是做了什么手脚?如何手动修复?还有限制关机的问题
样本信息及其dump内存文件
2.1 母体信息
文件名:YqbYbx.exe
类 型:EXE程序
大 小:52,224 字节
文件名:YqbYbx.jpg
类 型:jpg空白图片
大 小:396,445 字节
2.2 释放文件信息
文件名:twain32.dll
类 型:DLL文件
大 小:393,382 字节
路 径: %SystemRoot%\ twain32.dll
文件名:.lnk
类 型:快捷方式
大 小:424 字节
路 径:%开始菜单目录%\ .lnk 和 %我的文档目录%\ .lnk
文件名: .vbs
类 型: vbs脚本文件
大 小:139 字节
路 径:%我的文档目录%\ .lnk
2.3 内存dump文件信息
文件名:Region00E40000-00E91000.dmp
类 型:PE内存dump文件
大 小:331,776 字节
母体行为分析
3.1 母体行为概述
该母体并没有太大的危险性行为,其作用更贴切来说是作为一个Loder,作为病毒程序运行的垫脚石和对迷惑用户感官判断进行迷惑。
3.2 母体YqbYbx.exe行为分析
3.2.1 解密释放出病毒DLL文件:twain32.dll
a) 打开同文件夹下YqbYbx.jpg文件。
b) 定位到文件头偏移 0xBF7 位置处,读取 0x600A6 字节,通过简单的异解密出一个PE文件数据。
c) 将这段数据保存成一个DLL文件,路径在C:\WINDOWS\twain32.dll。
d) 利用rundll32.exe带参数 fuck007启动twain32.dll
启动格式:rundll32.exe "C:\WINDOWS\twain32.dll" fuck007
3.2.2 打开图片YqbYbx.jpg迷惑用户
a) 打开图片YqbYbx.jpg(此图片的文件已经损坏,打开是一个空白的图片)
释放文件行为分析
4.1 释放文件行为概述
释放文件有4个,一个DLL,两个个快捷方式和一个vbs程序。Vbs程序为病毒的再次启动提供多一个路径:通过快捷键启动。DLL文件就是在内存中生成病毒代码,连接远程控制服务器端,和远程控制服务器端交流信息。
4.2 twain32.dll行为分析
4.2.1 再内存进行病毒代码构造
运行的过程中,在内存分配了一个长度为 331776 字节的空间,通过大量数据解密,在这个空间里构造了一个DLL文件结构,然后跳转到这个结构中的代码来运行(已经dump出来了在压缩包中),这个DLL文件是一个远控。并且,远控服务器端域名“weiqi27890.3322.org”作为参数传递进去。
(针对远控的功能在第五章:远控功能分析)
4.3 .vbs行为分析
4.3.1 vbs脚本内容及其解析
SET objShell=Wscript.CreateObject("Wscript.Shell")
On error resume Next
iReturnCode=objShell.Run("rundll32.exe twain32.dll Run",0,TRUE)
此脚本就是利用rundll32.exe 来启动twain32.dll,其执行的时机在下面.lnk文件的分析里
4.4 .lnk行为分析
如下图,是.lnk文件的属性,可以看出,这个快捷方式可以随着空格“space”启动
远控功能分析
5.1 远控功能概述
这是一个功能比较完善的远程控制客户端,可以为服务器端提供查看本机信息,查看本机注册表,查看本地硬盘,上传、下载文件,运行程序,结束程序,及其3389远程桌面多用户登陆,记录键盘等一系列远程功能。
5.2与服务器端建立连接
(1) 查询域名“weiqi27890.3322.org”的IP地址xxx
(2) 建立TCP连接到xxx地址的1234端口
(3) 建立连接后发送本机系统消息进行上线确认
(关于获取本机系统详细信息在5.3)
5.3获取本机系统详细信息
(1) 通过HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\~MHz
获得CPU的主频
(2) 通过HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString 获得CPU的型号
(3) 通过 API函数 GetSystemInfo 获得系统版本信息
(4) GetDriveTypeA 检测从A盘到Z盘是否为可用盘,若果是可用盘,
(5) GeDiskFreeSpaceExA 获得每个盘的大小和可用空间
(6) 打包成一段数据包,发送给服务器端,作为上线信号
5.4记录键盘消息
(1) 接收到服务端的键盘消息指令
(2) 通过自己建立一个键盘表(全部键盘信息)
(3) 不断循环使用API函数GetKeyState测试每个键盘是否按下
(4) 将键盘信息保存到 “病毒路径\keylog.dat” 文件中
(5) 调用文件上传功能把keylog.dat上传
(6) 删除keylog.dat
5.5远程命令行功能
(1) 接收到服务端的远程命令行指令
(2) 后台运行cmd.exe
(3) 新建一个匿名管道,绑定到cmd.exe的输入输出
(4) 通过Tcp连接发送和接收cmd命令,让控制端自由操作
5.6查看进程列表功能,结束进程功能
(1) 接收到服务端的查看进程列表的功能
(2) 利用进程系统快照遍历系统进程
(3) 发送系统快照到服务器
(4) 如果服务器要求结束某进程,先使用(SeDebugPrivilege、LookupPrivilegeValueA、AdjustTokenPrivileges获得系统的权限)再用API函数TerminateProcess结束进程,如果无法结束,则调用调用系统的taskkill.exe /f /pid %d来结束进程。
5.7 DOS攻击功能
(1) 接收到服务端的DDOS攻击指令
(2) 接收到要攻击的IP地址或网站
(3) 创建一个线程,死循环的访问对应的网站或死循环的对IP地址发出连接邀请
(4) 直到收到了结束攻击的指令,才结束刚才创建的攻击进程。
5.8使电脑无法正常关机的功能
(1) 接收到服务端的使电脑无法正常关机的指令
(2) 使用API函数PrivilegeOpera设置SeShutdownPrivilege的属性使得电脑无法正常关机。
(3) 直到收到解除指令才还原设置
5.9设置系统成为可以多用户使用的3389端口远程桌面
(1) 接收到服务器端的设置远程桌面的消息
(2) 对如下注册表进行操作
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中
KeepRASConnections设置为REG_SZ值为1
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server中
fDenyTSConnections设置为REG_DWORD值为0
HKLM\SYSTEM\CurrentControlSet\control\terminal server\Licensing中
EnableConcurrentSessions设置为REG_DWORD值为1
HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters中
serviceDll设置为REG_EXPAND_SZ值为%SystemRoot%\system32\termsrvhack.dll
(3) 用文件接收功能,接收termsrvhack.dll到文件到C盘根目录下
(termsrvhack.dll这是网上广为流传的用户多用户3389的DLL文件)
(3) 复制c:\termsrvhack.dll到c:\windows\system32\dllcache\termsrvhack.dll
(4) 复制c:\termsrvhack.dll到c:\windows\system32\termsrvhack.dll
5.12 其他功能
其他远控常见功能,如上传下载文件,远程运行文件,删除文件,清除系统记录,查看系统服务,修改IE主页等功能,不做说明。
幽灵推病毒怎样查杀啊?有哪个软件可以?
病毒会伪装为正常软件或者诱惑性名称,一般的表现是手机自动下载其他推广软件、手机卡顿发热、出现有遮挡的广告等。甚至会拦截正常的银行短信导致用户的账号被盗,银行卡被盗刷等。若怀疑手机中存在木马或者病毒,请尝试按照以下步骤进行清除:
请尝试安装一款安全软件(例如:手机管家等)。以手机管家为例,打开手机管家,点击主界面上的一键体检即可自动检测手机中存在的问题,并且给出处理建议,点击一键清除即可删除病毒程序。
若重启手机发现病毒依然存在或者提示无法删除,请先获取ROOT权限再进行深度查杀,获取ROOT可以使用电脑端的一键ROOT工具进行。
手机版360卫士是否能查杀幽灵锥木马病毒?
可以, 手机有病毒,可以使用腾讯手机管家杀毒,它与卡巴斯基合作推双核引擎查杀的管家安全助手,可以对您的手机进行云查杀和备用病毒库的查杀,它能够查杀大量的手机病毒,病毒库也可以自动更新,你可以直接在手机管家的界面中点防护监控,然后选择病毒查杀,最后点一下病毒扫描即可,