下载者Trojan-PSW.Win32.OnLineGames.noi
一、 病毒标签:
病毒名称: Trojan-PSW.Win32.OnLineGames.noi
病毒类型: 下载者
文件大小 : 8332 byte
文件类型 : MS-DOS executable (EXE)
公开范围: 完全公开
命名对照:
NOD32 Win32/TrojanDownloader.Small.NZL trojan
金山毒霸 Win32.PSWTroj.Win32.77964
瑞星 Trojan.PSW.Win32.OnlineGames.GEN
二、 病毒描述:
该病毒为下载者。运行后衍生病毒驱动文件drivers\phy.sys,释放BAT文件删除自身,并通过修改注册表添加驱动服务。连接网络读取http://new.7**49571.com/new.txt,下载其他病毒文件并运行。
三、 行为分析
释放病毒驱动:
c:\WINDOWS\system32\drivers\phy.sys
Size: 1,536 bytes
连接网络读取http://new.749**571.com/new.txt下载病毒并运行:
NEW.TXT的内容:
[oo]
e0=http://60.190.118.15/new/1.exe
e1=http://60.190.118.15/new/2.exe
e2=http://60.190.118.31/new/3.exe
e3=http://60.190.118.31/new/4.exe
e4=http://60.190.118.71/new/5.exe
e5=http://60.190.118.50/new/6.exe
e6=http://74.222.132.178/new/7.exe
e7=http://60.190.118.50/new/8.exe
e8=http://60.190.118.50/new/9.exe
e9=http://60.190.118.50/new/10.exe
e10=http://60.190.118.182/new/11.exe
e11=http://60.190.118.182/new/13.exe
e12=http://60.190.118.203/new/14.exe
e13=http://60.190.118.71/new/15.exe
e14=http://60.190.118.203/new/16.exe
e15=http://74.222.132.186/new/17.exe
e16=http://74.222.132.186/new/18.exe
e17=http://74.222.132.186/new/19.exe
e18=http://74.222.132.186/new/20.exe
e19=http://74.222.132.186/new/21.exe
e20=http://74.222.132.186/new/22.exe
e21=http://74.222.132.178/new/23.exe
e22=http://74.222.132.178/new/24.exe
e23=http://74.222.132.178/new/25.exe
e24=http://74.222.132.178/new/26.exe
e25=http://74.222.132.178/new/27.exe
e26=http://74.222.132.178/new/28.exe
e27=http://74.222.132.178/new/29.exe
e28=http://74.222.132.178/new/30.exe
e29=http://74.222.132.178/new/31.exe
e30=http://74.222.132.178/new/32.exe
e31=http://74.222.132.178/new/33.exe
新增注册表项目:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\phy "DisplayName"
Type: REG_SZ
Data: phy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\phy "ErrorControl"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\phy "ImagePath"
Type: REG_EXPAND_SZ
Data: \??\C:\WINDOWS\system32\DRIVERS\phy.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\phy "DisplayName"
Type: REG_SZ
Data: phy
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\phy "ErrorControl"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\phy "ImagePath"
Type: REG_EXPAND_SZ
Data: \??\C:\WINDOWS\system32\DRIVERS\phy.sys
解决方案:
断开网络。
屏蔽域名:new.749571.com
进入安全模式,删除注册表项目:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\phy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\phy
删除文件:
C:\WINDOWS\system32\DRIVERS\phy.sys
数据加载中... |
