日期:2008-04-02
病毒名称:Trojan-Downloader.Win32.VB.fbj
病毒类别:木马下载器
危害指数:3
传播途径:网页木马/文件捆绑
传播平台:WIN9X/WINME/WINNT/Windows 2000/Windows XP/Windows 2003
程序是使用VB编写的下载程序,采用UPX加壳方式试图躲避特征码扫描,加壳后长度14,571字节,图标为 
病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播
病毒分析
该木马程序被执行后,以命令行ntsd -c q -pn将360Safe.exe、360tray.exe关闭;拷贝自身到%programfiles%\Internet Explorer\目录下,重命名为svchost.exe;修改注册表自启动项以达到随系统启动的目的;以reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system /v disableregistrytools /t REG_DWORD /d 2 /f作为参数,通过API函数CreateProcessW运行以禁用注册表编辑工具;访问如下网址下载其它病毒程序并运行。
| Quote: | |
|
| Quote: | |
|
| Quote: | |
|
墨者安全专家建议:
1.点击墨者安全专家控制台——选择漏洞补丁——选择禁止优盘光驱自动运行。
2.请开启墨者安全专家的“革离术”进行实时防护,并使用系统安全漏洞中心,检查系统漏洞,发现漏洞请点击“修复”完成漏洞修补。
3.保持使用墨者安全豪华版套装中的正版趋势反病毒专家,进行对系统病毒经常扫描的习惯,发现病毒或者隐患及时清除。
4.请将墨者安全豪华版中的正版趋势反病毒专家的自动升级功能开启,保持自动更新为最新病毒库,保证病毒及木马的及时发现及清除。