javqhc ？？？

在某站抓了一包~~發現了這個，好厲害啊，會刪安全工具

 

簡單分析~~

 

文件名稱：名稱隨機

文件大小：13149.dat

AV命名： Backdoor.Win32.Agent.ahj（Ikarus）

加殼方式：NsPack

文件MD5：ca2046a99c834aca83cef0efa848877f

 

主要行爲：

 

1、釋放文件：

%systemroot%\system32\釋放3個隨機文件名稱的文件：

 

2個擴展名爲dat，一個爲dll，大小爲243200 字節。

 

2、訪問註冊表鍵：SYSTEM\CurrentControlSet\Services\vmscsi

 

假設存在，即刪除c:\ntldr（硬編碼），並立刻執行命令行：shutdown -s -t 0 -f重啓計算機

 

重啓後虛擬機癱瘓。

 

3、添加啓動項：

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
   Registry value: tyxzjal
      Type: REG_SZ
      Value: {18b39e76-903b-e580-a14c-903b16feedfb}

 

指向：C:\WINDOWS\system32\otsuevg.dll

 

4、啓動rundll32.exe，進行鏈接庫注入：rundll32.exe C:\WINDOWS\system32\130196.dat s

 

5、繼續注入其他兩個副本文件，應該是進程守護技術吧。

 

6、安裝全局鉤子，注入所有活動的進程。

 

7、查找計算機中是否安裝快車、TM和QQ，如果有，則在其目錄下生成病毒文件。

 

8、監控系統，如果嘗試運行或加載這些文件會被刪除（移動到臨時文件夾）！！：

 

ollydbg.ini Libclsid.dat KNetWch.SYS mmskskin.dll Iereset.dll KASearch.DLL Rsaupd.exe libdll.dat CleanHis.dll WoptiClean.sys kakalib.def kkinst.ini KAVBootC.sys Ras.exe iehelp.exe trojandetector.exe KAConfig.DLL KAVPassp.DLL KKClean.dll VirUnk.def AntiActi.dll FileAnalyser.dll

 

（好亂啊，，，=.=）

 

9、還有這些關鍵字也會被結束刪除（移動到臨時文件夾）：

 

wopticlean 360safe \360\ Duba Kingsoft uschuk WangSea GYN Smallfrogs MicropoInt ArSwp 360Safe Spyware ackTh wb .com duba   360 修復 uba

 

並添加至： PendingFileRenameOperations延遲刪除。

 

10、破壞安全模式，刪除：

 

System\CurrentControlSet\Control\SafeBoot\Minimal    System\CurrentControlSet\Control\SafeBoot\Network

 

11、連接網絡：s2f3.v78a344.com h**p://www.ads520.com/等

 

下載***，不過沒實現！

 

12、每激活一個進程，病毒就會注入該進程，並執行上面的操作，會重寫回註冊表啓動！

 

解決方法：

 

其實很簡單，進入System目錄，查看最近修改的文件，

 

看到有3個文件大小一樣的就刪了（名字比較怪的）

 

然後打開註冊表，查找這3個病毒名字，刪除那些鍵