|
本周提醒用户注意一个最新的木马下载类病毒:Trojan-Downloader.Win32.Tibs.ai,该病毒大小仅为4,977 字节,病毒运行后首先会复制自身到系统文件夹下,名为:%system%kernels64.exe,这个副本名称具有一定的迷惑性,多数用户会认为这是个系统文件,病毒还会修改感染主机的注册表文件,目的为:添加病毒副本到启动项、禁用windows的“任务管理器”,而后病毒还会通过系统命令“netsh firewall set allowedprogram %s enable”更改用户的防火墙设置,从而使得该病毒能够访问网络,病毒会尝试访问地址:http://85.255.***.242/adv/soft1,尝试下载以下5个病毒相关文件到感染主机上运行:
http://85.255.***.242/adv/soft1/search1.exe
http://85.255.***.242/adv/soft1/winlogon1.exe
http://85.255.***.242/adv/soft1/tibs1.exe
http://85.255.***.242/adv/soft1/tool.exe
http://85.255.***.242/adv/soft1/proxy.exe
而后将这些病毒相关文件分别放置到%temp%和%system%目录下:
%TEMP%\1.qtdfmp
%TEMP%\2.qtdfmp
%TEMP%\5.qtdfmp
%TEMP%\6.qtdfmp
%TEMP%\7.qtdfmp
%SYSTEM%\vxh8jkdq1.exe
%SYSTEM%\vxh8jkdq2.exe
%SYSTEM%\vxh8jkdq5.exe
%SYSTEM%\vxh8jkdq6.exe
%SYSTEM%\vxh8jkdq7.exe
该病毒对用户有一定的危害,详细分析还请广大用户参看:Trojan-Downloader.Win32.Tibs.ai分析
清除方案:
1、删除病毒释放的文件:
%system%kernels64.exe
%TEMP%\1.qtdfmp
%TEMP%\2.qtdfmp
%TEMP%\5.qtdfmp
%TEMP%\6.qtdfmp
%TEMP%\7.qtdfmp
%SYSTEM%\vxh8jkdq1.exe
%SYSTEM%\vxh8jkdq2.exe
%SYSTEM%\vxh8jkdq5.exe
%SYSTEM%\vxh8jkdq6.exe
%SYSTEM%\vxh8jkdq7.exe
2、恢复病毒修改的注册表项目,删除病毒添加的注册表项:
删除以下键值:
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
键值:字串:"System" = "%SYSTEM%\kernels64.exe"
HKEY_LOCAL_METHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
键值:字串:"SystemTools" = "%SYSTEM%\kernels64.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\System
键值:字串:"DisableTaskMgr" = 1
修改以下键值:
HKEY_LOCAL_METHINE\Software\Microsoft\Windows NT
\CurrentVersion\Winlogon
键值:字串:"Shell" = "Explorer.exe %SYSTEM%\kernels64.exe"
改为:
HKEY_LOCAL_METHINE\Software\Microsoft\Windows NT
\CurrentVersion\Winlogon
键值:字串:"Shell" = "Explorer.exe"
安天应急处理小组郑重提醒广大用户:
1.及时安装系统补丁。
2.不要随意点击来自论坛和即时通讯工具的连接,更不要执行远方传输来的可执行程序,不要轻信相关说明,形成二次传播。
3.使用安天木马防线2005+,木马防线全自动升级,可以为你的系统提供透明的保护。
|
内容:
病毒上报信箱: