Trojan-Banker.Win32.Banker (1)

最新推荐文章于 2021-09-01 00:04:38 发布
最新推荐文章于 2021-09-01 00:04:38 发布
阅读量3k 收藏
点赞数
分类专栏: delphi 电脑安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dragoo1/article/details/8525809
版权
又中毒了。。。

症状:开机一个Coilk.exe,运行msconfig之后,发现C:\Program Files\Cffe\Coilk.exe随机启动,不知道什么进程,打开ie,360监控到木马行为(木马居然20m内存...)

原因:1.8装了boundscheck,有病毒,病毒原网址:

http://www.3ddown.com/soft/31594.htm

分析:

文件细节:
C:\Program Files\Cffe
创建时间:2013年1月8日, 18:47:21
C:\Program Files\Cffe\Tepvr
C:\Program Files\Cffe\Tepvr\Coilk.ini
[DRV]
dBat1=41295
dBat2=41283
[SRV]
iC=1
[DBI]
CD1=5DDB3E62C9EC4039
CD2=2352E35A0C5179E0
CD3=B23B3905AD920B87
C:\Program Files\Cffe\Tepvr\Xaze.dll
20.8 MB (21,879,093 字节)
SystemRegister
C:\Program Files\CffeCoilk.exe
20.7 MB (21,730,187 字节)
C:\Program Files\Glekk.exe
20.7 MB (21,803,629 字节)

上传到https://www.virustotal.com/zh-cn/

Agnitum 	Backdoor.Hupigon!SXmfDxK5Dx0 	20130120
AhnLab-V3 	Backdoor/Win32.Hupigon 	20130120
AntiVir 	- 	20130121
Antiy-AVL 	- 	20130120
Avast 	Win32:Delf-RA [Trj] 	20130121
AVG 	Generic20.BXTP 	20130121
BitDefender 	Trojan.Banker.MJZ 	20130121
ByteHero 	- 	20130118
CAT-QuickHeal 	- 	20130120
ClamAV 	- 	20130121
Commtouch 	W32/Iyeclore.A.gen!Eldorado 	20130120
Comodo 	- 	20130121
DrWeb 	Trojan.PWS.Banker.54544 	20130121
Emsisoft 	Trojan.Banker.MJZ (B) 	20130120
eSafe 	- 	20130120
ESET-NOD32 	probably a variant of Win32/Iyeclore.D 	20130120
F-Prot 	W32/Iyeclore.A.gen!Eldorado 	20130120
F-Secure 	Trojan.Banker.MJZ 	20130120
Fortinet 	W32/Delf.NTCC!tr 	20130121
GData 	Trojan.Banker.MJZ 	20130121
Ikarus 	Trojan-Dropper.Delf 	20130121
Jiangmin 	Backdoor/Hupigon.brhv 	20121221
K7AntiVirus 	Riskware 	20130119
Kaspersky 	Backdoor.Win32.Hupigon.ndme 	20130121
Kingsoft 	Win32.Hack.Huigezi.(kcloud) 	20130115
Malwarebytes 	Trojan.Iyeclore 	20130121
McAfee 	- 	20130121
McAfee-GW-Edition 	- 	20130121
Microsoft 	Trojan:Win32/Iyeclore.A 	20130121
MicroWorld-eScan 	Trojan.Banker.MJZ 	20130121
NANO-Antivirus 	Trojan.Win32.Hupigon.dukjs 	20130121
Norman 	- 	20130120
nProtect 	- 	20130121
Panda 	- 	20130120
PCTools 	Backdoor.Trojan 	20130121
Rising 	Trojan.Win32.Yalrevo.o 	20130117
Sophos 	Mal/Delf-BC 	20130121
SUPERAntiSpyware 	- 	20130120
Symantec 	Backdoor.Trojan 	20130121
TheHacker 	Backdoor/Hupigon.ndme 	20130120
TotalDefense 	Win32/Delf.ALG 	20130120
TrendMicro 	BKDR_IYECLORE.AQ 	20130121
TrendMicro-HouseCall 	BKDR_IYECLORE.AQ 	20130121
VBA32 	Backdoor.Hupigon.ndme 	20130118
VIPRE 	Trojan.Win32.Delf.bc (v) 	20130121
ViRobot 	- 	20130120
同时使用命令netstat -ano,开了tcp/udp端口,端口不固定,如
C:\Documents and Settings\Administrator>netstat -ano|findstr 3128
  TCP    192.168.1.183:3417     219.138.163.64:80      ESTABLISHED     3128
  UDP    127.0.0.1:2701         *:*                                    3128
C:\Documents and Settings\Administrator>netstat -ano|findstr 3128
  TCP    192.168.1.183:3128     119.188.9.119:80       ESTABLISHED     3332
  UDP    127.0.0.1:2701         *:*     



dragoo1
关注
专栏目录
Trojan-Banker.Win32.Banker (3)
dragoo1的专栏
01-21 1357
跟了一天,下班。 参考: http://cn.bing.com/search?q=dBat1&pc=MOZI&first=59&FORM=PORE http://bbs.360.cn/4071464/33422383.html http://hi.baidu.com/hunxiaoshimo/item/e4c4797889a90015d1dcb32c http://zhidao.
关于解决Spy:Win32/Banker.病毒威胁问题(explorer.exe 关联.dll文件删除不掉的问题)
6747的博客
07-31 1306
网页下载软件之后,安全防护出现以下问题。 看到受影响的项目,找到文件项目文件地址,发现根本没有那个.exe文件,而且删除该文件夹之后每次出现病毒防护的时候该文件夹会自动生成,所以病毒并不在这里。于是找到安装的软件的地址,将文件删除,发现一个名为KZipShell.dll的文件一直在运行,删除不了被其他应用占用了。 ** 以下是解决办法: ** 第一步:右键开始——运行——输入msconfig-—原则引导——安全引导——确定,会重启,进入安全模式之后没有网络。 第二步:记住刚才KZipShell.dll文
Trojan-Banker.Win32.Banker (2)
dragoo1的专栏
01-21 1万+
使用spy对木马进程监视,发现不停地WM_TIMER消息,估计木马使用定时器监控ie的启动情况 木马使用delphi编写. 先使用ollydbg反编译Coilk.exe,发现 代码中有{985483CD-DCDE-4817-AF35-F17411836625}google,发现是Trojan-Banker病毒 代码中有TInterfacedObject,baidu,发现是delhpi类
关于桌面程序被安全软件误判为HEUR:Trojan.Win32.Generic的解决方案
10年职场两茫茫,35岁凄凉奈若何
06-29 5674
关于桌面程序被安全软件误判为HEUR:Trojan.Win32.Generic的解决方案
使用Python中的卷积神经网络进行恶意软件检测 !
Pythoncxy的博客
07-01 4094
导言 在这篇文章中,我们将学习人工网络架构以及如何使用其中一个(卷积神经网络)来帮助恶意软件分析师和信息安全专业人员检测和分类恶意代码。 恶意软件是每个现代组织的噩梦。攻击者和网络犯罪分子总是想出新的恶意软件来攻击目标。安全厂商正在尽最大努力防范恶意软件攻击,但遗憾的是,每月发现的数百万恶意软件无法实现这一点。因此,需要诸如深度学习的新方法。 在深入研究DL方法的技术细节和实际实施步骤...
Centos7安装trojan脚本
识途老码
09-01 6514
Centos7安装trojan脚本
trojan-1.16.0-win.zip
04-01
trojan
2020年trojan最新windows64客户端trojan-1.15.1-win.zip
04-14
2020年trojan最新windows64客户端
Trojan-Qt5-Windows.1.1.6.rar
01-27
【标题】"Trojan-Qt5-Windows.1.1.6.rar" 是一个与恶意软件相关的压缩包文件,特别提到了"Trojan Client",这通常指的是特洛伊木马病毒的一个客户端版本。特洛伊木马是一种设计用于欺骗用户的计算机程序,表面上看...
Trojan-Qt5-Windows.zip
03-14
V0.0.4c The Emergency Bug Fix for V0.0.4b V0.0.4b的紧急Bug修复 @TheWanderingCoel TheWanderingCoel released this 3 hours ago This is a version only contain these bug fixes: [Bug Fix] Fix Safari ...
2020年第三季度的垃圾邮件和网络钓鱼攻击分析
systemino的博客
11-26 1480
垃圾邮件和网络钓鱼攻击的花样百出 如今,许多公司通过在线平台发布营销新闻,在功能方面,此类平台的功能非常多样化:它们发出广告和信息性消息、收集统计数据(例如,有关电子邮件中点击的链接的信息)等。与此同时,此类服务同时吸引了垃圾邮件发送者和黑客。垃圾邮件发送者利用这些服务发送邮件,而黑客通常通过网络钓鱼来获取用户账户。因此,攻击者也掌握了用户创建的邮件列表,这使他们能够传播大规模广告或网络钓鱼信息,过滤系统有时会让这些信息通过。 因此在第三季度,研究人员记录了使用Sendgrid平台发送的消息数量的增加。
Linux执行.sh文件,提示No su…
u010490755的博客
12-15 2249
Linux执行.sh文件,提示No such file or directory的问题 问题描述  解决方法  分析原因,可能因为我平台迁移碰到权限问题我们来进行权限转换  1)在Windows下转换:  利用一些编辑器如UltraEdit或EditPlus等工具先将脚本编码转换,再放到Linux中执行。转换方式如下(UltraEdit):File-->Convers
Trojan/Win32.Small.dyq病毒的解决方法
注重长远 天天积累 cqujsjcyj
05-27 2308
    转自:http://www.antiyfx.com/a/wiki/bingdufenxi/2009/1218/746.html   病毒标签: 病毒描述: 行为分析-本地行为: 行为分析-网络行为: 清除方案: 病毒名称: Trojan/Win32.Small.dyq[Dropper]病毒类型: 木马下载器 文件 MD5: 6ccb74a0701948c1ad29ef29d0bb00...
病毒HEUR:Trojan-Downloader.Win32.Generic
Gin工作室
08-06 4144
这个病毒一般是浏览网页留下的,病毒多在四个地方: C:/Documents and Settings/Administrator/Cookies C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files   C:/Documents and Settings/Default User/Co
启动sh脚本时报错No such file or directory的解决办法
热门推荐
weixin_44758913的博客
04-10 4万+
一、对于在服务器上新上传的start.sh脚本,启动时容易出现,-bash:./start.sh:/bin/sh^M: bad interpreter:No such file or directory 那么这是什么原因造成的呢,一般情况是因为该sh脚本的格式不正确,如果这个脚本在你本地修改过(使用txt、notepad++打开修改),可能在保存的时候会默认把文件的格式保存为: doc格式(win...
HK_C_U\Software\Microsoft\Windows\ShellNoRoam\MUICache键值作用
dragoo1的专栏
07-26 3924
11密码忘记了,下了个星号查看器,结果什么也没看到(估计放到读文件),还赠送了一堆流氓软件,这也就罢了,还送一个灰鸽子。 症状就是ie8启动器显示要恢复(我关机前没有强制关ie),开机的时候显示cmd,一闪而过,自动打开瑞毅流量统计,www.tao123.com等网站,还启动write.exe进程。囧 用360扫了下,居然扫到了C:\Program Files\360\explore.exe,
Trojan-Downloader.Win32.Agent.bbb 木马手动查杀
最新发布
06-09
首先,关闭所有正在运行的程序,然后按照以下步骤手动查杀Trojan-Downloader.Win32.Agent.bbb木马: 1. 打开任务管理器,结束所有Trojan-Downloader.Win32.Agent.bbb木马相关进程。 2. 删除Trojan-Downloader.Win32.Agent.bbb木马相关的注册表项。在开始菜单中输入“regedit”打开注册表编辑器,找到以下路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除其中所有值名为“Trojan-Downloader.Win32.Agent.bbb”的键值。 3. 删除Trojan-Downloader.Win32.Agent.bbb木马相关的文件。在开始菜单中输入“cmd”打开命令提示符,输入“dir %SystemDrive%\ /a /s /b | findstr Trojan-Downloader.Win32.Agent.bbb”查找所有Trojan-Downloader.Win32.Agent.bbb木马相关的文件,并删除它们。 4. 清除系统垃圾文件。在开始菜单中输入“cleanmgr”打开磁盘清理工具,选择要清理的磁盘,并勾选“临时文件”、“下载文件”等垃圾文件,点击“确定”清理系统垃圾文件。 5. 更新杀毒软件并进行全盘扫描,确保系统没有其他病毒和恶意软件。 6. 最后,重启电脑,确保所有更改生效并且Trojan-Downloader.Win32.Agent.bbb木马已经被完全清除。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值