木马Trojan-Proxy.Win32.Small.du 分析

最新推荐文章于 2024-07-10 17:08:52 发布
最新推荐文章于 2024-07-10 17:08:52 发布
阅读量994 收藏
点赞数
文章标签: system service windows 互联网 服务器 网络

安天实验室    CERT组分析
一、病毒标签:
病毒名称: Trojan-Proxy.Win32.Small.du
病毒类型: 木马类
文件 MD5: E1457D3F1310C3462F4CD9A637628050
公开范围: 完全公开
危害等级: 3
文件长度: 22,528 字节
感染系统: windows 98以上版本
加壳类型: PECompact 2.x
   
二、病毒描述:
   
病毒运行后,衍生病毒文件到系统目录下,并删除自身。修改注册表值,创建服务,并以服务的方式达到随机启动的目的。该病毒通过恶意网站、其它病毒/木马下载传播。该病毒会在中毒机器上建立一个提供匿名访问互联网的代理服务器,用于垃圾邮件的发送等,会占用用户的网络资源,使用户网速变慢。由于该病毒仿照系统DLL加载,因此隐藏较深,给清除带来了一定的难度,也使其生命周期更加长久。

三、行为分析:

1、 文件运行后会释放以下文件
%System32%/RemoteDbg.dll

2、 新建注册表
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/Root/LEGACY_CELINDRV/0000/Control
键值: 字串: " ActiveService " = "CelInDrv"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/Root/LEGACY_CELINDRV/0000
键值: 字串: " DeviceDesc " = "CelInDrv"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/CelInDrv/Enum
键值: 字串: " 0 " = "Root/LEGACY_CELINDRV/0000"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/RemoteDbg
键值: 字串: " Description " = "允许 Administrators 组的成员进行远程调试。"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/RemoteDbg
键值: 字串: " DisplayName " = "Remote Debug Service"

3、创建服务,并以服务的方式达到随机启动的目的:
服务名称: RemoteDbg
显示名称: Remote Debug Service
描述:允许 Administrators 组的成员进行远程调试。
可执行文件的路径:C:/WINDOWS/system32/rundll32.exe RemoteDbg.dll,input
启动方式:自动
       
4、该病毒会在中毒机器上建立一个提供匿名访问互联网的代理服务器,用于垃圾邮件的发送等,会占用用户的网络资源,使用户网速变慢。
   
   
注释:
%Windir%                      WINDODWS所在目录
%DriveLetter%                逻辑驱动器根目录
%ProgramFiles%                系统程序默认安装目录
%HomeDrive%                  当前启动系统所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%                        当前用户TEMP缓存变量;路径为:
%Documents and Settings%/当前用户/Local Settings/Temp
%System32%                    是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:/Winnt/System32;
Windows95/98/Me中默认的安装路径是 C:/Windows/System;
WindowsXP中默认的安装路径是 C:/Windows/System32。
   
   
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.comhttp://www.antiy.com/download/index.htm
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
   
(2) 强行删除病毒文件
%System32%/RemoteDbg.dll
   
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/Root/LEGACY_CELINDRV/0000/Control
键值: 字串: " ActiveService " = "CelInDrv"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/Root/LEGACY_CELINDRV/0000
键值: 字串: " DeviceDesc " = "CelInDrv"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/CelInDrv/Enum
键值: 字串: " 0 " = "Root/LEGACY_CELINDRV/0000"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/RemoteDbg
键值: 字串: " Description " = "允许 Administrators 组的成员进行远程调试。"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/RemoteDbg
键值: 字串: " DisplayName " = "Remote Debug Service"

(4)禁用服务RemoteDbg

 

edison20
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Trojan/Win32.Small.dyq病毒的解决方法
注重长远 天天积累 cqujsjcyj
05-27 2287
    转自:http://www.antiyfx.com/a/wiki/bingdufenxi/2009/1218/746.html   病毒标签: 病毒描述: 行为分析-本地行为: 行为分析-网络行为: 清除方案: 病毒名称: Trojan/Win32.Small.dyq[Dropper]病毒类型: 木马下载器 文件 MD5: 6ccb74a0701948c1ad29ef29d0bb00...
Trojan-Proxy.Win32.Agent.if木马 -SVOHOST.EXE
飘的梦客厅
10-08 1779
svohost.exe是Trojan-Proxy.Win32.Agent.if木马相关程序,建议立即删除。病毒运行后会将自身复制到系统目录下,文件名为“SVOHOST.exe”和“hsoft.exe”。同时在注册表中添加Run/SoundMam信息,实现开机自动运行或打开文本文件时自动运行。该病毒会自动向QQ好友发送内容为“让我成功申请x位QQ号和Q币动画,朋友推荐我的,你看看http: //ww
木马程序(病毒)
m0_49025459的博客
01-28 2882
"特洛伊木马"(trojan horse)简称"木马",据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后,遂将"木马"作为奇异的战利品拖入城内,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。后世称这只大木马为"特洛伊木马"。
s.exe,4f4.exe,8g4.dll,fh8.dll
Purpleendurer@CSDN
09-02 2673
文件说明符 : C:/WINDOWS/system32/s.exe属性 : A--R数字签名:否PE文件:是语言 : 中文(中国)文件版本 : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)说明 : Windows Progman Group Converter版权 : Copyright Zhongsou(C) 2005产品版本 : 5.1.2600.2180产
关于sysmon的基本使用(1)
热门推荐
qq_34367997的博客
07-05 1万+
sysmon的基本使用(1) 安装 下载地址 : https://download.sysinternals.com/files/Sysmon.zip Install: Sysmon.exe -i <configfile> # 指定配置文件安装 sysmon -accepteula –i -n # 一键安装(使用sha1进行散列的过程映像...
trojan-1.16.0-win.zip
04-01
trojan
2020年trojan最新windows64客户端trojan-1.15.1-win.zip
04-14
2020年trojan最新windows64客户端
Trojan-Qt5-Windows.zip
03-14
V0.0.4c The Emergency Bug Fix for V0.0.4b V0.0.4b的紧急Bug修复 @TheWanderingCoel TheWanderingCoel released this 3 hours ago This is a version only contain these bug fixes: [Bug Fix] Fix Safari ...
Trojan-Qt5-Windows.1.1.6.rar
01-27
【标题】"Trojan-Qt5-Windows.1.1.6.rar" 是一个与恶意软件相关的压缩包文件,特别提到了"Trojan Client",这通常指的是特洛伊木马病毒的一个客户端版本。特洛伊木马是一种设计用于欺骗用户的计算机程序,表面上看...
.Net Core下通过Proxy 模式 使用 WCF
shengjmm的博客
08-21 3181
.NET Core下的WCF客户端也是开源的,这次发布.NET Core 2.0,同时也发布了 WCF for .NET Core 2.0.0, 本文介绍在.NET Core下如何通过Proxy 消费WCF服务。 我们现在直接可以在 standard 2.0下调用wcf服务了,不过 Microsoft WCF Web Service Reference Provider 目前是beta阶段,要使
记录一下这几天遇到的坑(.netcore 代理问题)
dngkzsf165912的博客
12-07 373
1、通过图片的网络url将图片转化为base64格式 方法如下: public static async Task<string> GetImageAsBase64Url(string url) { using (var handler = new HttpClientHandler()) usin...
遭遇木马Trojan-PWS.Win32.Agent.BU
weixin_33724570的博客
11-12 274
那天,有个同事拿个U盘过来跟我说打不开,能不能帮她看看,自恃电脑里有Autorun病毒防御者一直开着用来查杀U盘木马,没出过差错,就把她的U盘插入静候它的佳音,一会儿它跳出: 发现病毒注册表项:\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\OnDesktop,...
windows病毒和威胁防护出现提示 Trojan:Win32/Fuerboos.D!cl 是什么原因
saltysoda的博客
02-03 3051
我遇到这个情况是因为我正在使用pyinstaller编译生成exe可执行文件,并且exe过一会儿自己就没了,我才反应过来是windows给它当成病毒删除了。 两种解决方案: 1.使用pyinstaller -i 加入图标据说可以免杀(亲测无效) 2.提示威胁时,选择允许在设备上,然后执行操作 ...
java 中钻石操作符 <> 的使用场景
最新发布
qq_27390023的博客
07-10 320
钻石操作符在 Java 中的主要作用是简化泛型类型的实例化,减少代码冗余,使代码更加简洁和可读。它通过类型推断机制,让编译器自动推断出类型参数,而不需要程序员显式地重复类型参数。这样不仅减少了代码量,还减少了出错的可能性。
Flink 任务启动常用命令
SunTecTec
07-08 326
flink cancel -s/--withSavepoint <path> <job_id> : 取消正在运行的job,并保存到相应的保存点。# -s,--fromSavepoint <savepointPath> : 基于savepoint保存下来的路径,进行恢复。flink modify <job_id> -p/--parallelism p : 修改job的并行度。flink list -r/--runing :列出正在运行的job。# -d,--detached : 在后台运行。
Windows API每日一练》8.5 listbox控件
bcdaren的博客
07-08 815
在上述示例中,我们首先获取列表框控件的句柄 hListBox,然后使用 LB_ADDSTRING 消息或 ListBox_AddString 函数将字符串项添加到列表框中。要选择列表框中的项目并提取选中的项目,你可以使用 LB_GETCURSEL 消息或 ListBox_GetCurSel 函数来获取当前选中项目的索引。●WM_COMMAND:列表框的选择变化会触发 WM_COMMAND 消息,其中的 wParam 参数指示了列表框的控件标识符,而 lParam 参数指示了列表框控件的句柄。
动态sql 单选变多选
qq_43557302的博客
07-08 314
动态sql 单选变多选
Trojan-Downloader.Win32.Agent.bbb 木马手动查杀
06-09
首先,关闭所有正在运行的程序,然后按照以下步骤手动查杀Trojan-Downloader.Win32.Agent.bbb木马: 1. 打开任务管理器,结束所有Trojan-Downloader.Win32.Agent.bbb木马相关进程。 2. 删除Trojan-Downloader.Win32.Agent.bbb木马相关的注册表项。在开始菜单中输入“regedit”打开注册表编辑器,找到以下路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除其中所有值名为“Trojan-Downloader.Win32.Agent.bbb”的键值。 3. 删除Trojan-Downloader.Win32.Agent.bbb木马相关的文件。在开始菜单中输入“cmd”打开命令提示符,输入“dir %SystemDrive%\ /a /s /b | findstr Trojan-Downloader.Win32.Agent.bbb”查找所有Trojan-Downloader.Win32.Agent.bbb木马相关的文件,并删除它们。 4. 清除系统垃圾文件。在开始菜单中输入“cleanmgr”打开磁盘清理工具,选择要清理的磁盘,并勾选“临时文件”、“下载文件”等垃圾文件,点击“确定”清理系统垃圾文件。 5. 更新杀毒软件并进行全盘扫描,确保系统没有其他病毒和恶意软件。 6. 最后,重启电脑,确保所有更改生效并且Trojan-Downloader.Win32.Agent.bbb木马已经被完全清除。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值