注意狗出没 最新五代机器狗分析 可穿透还原系统

对于大名鼎鼎的机器狗病毒来说，对网络安全比较熟悉的朋友一定听说过。最近，其变种已经发展到了第五代，可见其功能强大，破坏力之强。下面我们来具体分析下本病毒：

该病毒为第五代机器狗，可穿透还原系统，使还原系统失效。巡警团队在捕获该样本后，对样本进行了分析。该病毒运行后释放一个tmp文件到临时文件夹下，该文件实际上是驱动文件，可以使主动防御和还原系统失效，修改系统时间，对安全soft进行映像劫持，链接Network下载病毒，严重的干扰了用户使用计算机并威胁用户计算机系统安全。Super巡警提醒广大用户，要经常使用Super巡警进行全盘扫描，以保证系统不受恶意程序困扰。　　一、病毒相关分析：　　病毒标签：　　病毒名称：Worm.Win32.Downloader.pu 　　病毒类型：第五代机器狗　　危害级别：5 　　感染平台：Windows 　　病毒大小：36,792字节　　SHA1　： D38CF55F30A15EDD9C11F66DECA70FB1D364C74F 　　加壳类型：WinUpack 　　开发工具：Microsoft Visual C++ 　　病毒行为：　　1、病毒运行以后释放文件，该文件加载之后被自删除：　　%Temp%\~wxp2ins.171.tmp(随机名) 　　2、遍历当前进程，如发现avp.exe进程，就调用SetSystemTime函数将系统时间修改为2001，使衍生文件的创建时间都为2001年，衍生病毒文件不容易被用户察觉。　　3、添加注册表映像劫持，导致用户运行安全soft，实际运行的是病毒程序，被劫持的安全soft如下：　　360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、　　ati2evxx.exe、autoruns.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、　　CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、FTCleanerShell.exe、　　HijackThis.exe、IceSword.exe、idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、　　KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、　　KAVSetup.exe、KAVStart.exe、kavsvc.exe、KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、　　KMFilter.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRegEx.exe、KRepair.com、KsLoader.exe、　　KVCenter.kxp、KvDetect.exe、KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、　　KvReport.kxp、KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、KVwsc.exe、kwatch.exe、　　KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、navapsvc.exe、　　Navapw32.exe、nod32krn.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、PFW.exe、　　PFWLiveUpdate.exe、procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、qqsc.exe、Ras.exe、　　rav.exe、RAVmon.exe、RAVmonD.exe、ravstub.exe、ravtask.exe、ravtimer.exe、ravtool.exe、　　RegClean.exe、regtool.exe、rfwmain.exe、rfwproxy.exe、FYFireWall.exe、rfwsrv.exe、rfwstub.exe、　　rising.exe、Rsaupd.exe、runiep.exe、safebank.exe、safeboxtray.exe、safelive.exe、scan32.exe、　　shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、　　Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、　　UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、webscanx.exe、WinDbg.exe、WoptiClean.exe 　　4、创建进程svchost.exe，然后将恶意代码写入进程。　5、添加注册表项，创建服务加载驱动，驱动的作用是使主动防御和还原保护失效。　　6、下载病毒文件，文件列表可更新：　　http://www.dfhtn.cn/baibai.txt[链接已失效] 　　http://www.recgt.cn/google.exe[链接已失效] 　　二、解决方案　　推荐方案：安装Super巡警进行全面病毒查杀。Super巡警用户请升级到最新病毒库，并进行全盘扫描。　　Super巡警下载地址：http://www.sucop.com/download/16.html 　　手工清除方法：　　1、结束病毒进程。打开Super巡警ToolsLoader.exe工具(此工具在Super巡警安装目录下)，选择进程管理功能，终止svchost.exe进程。　　2、修复安全模式启动/映象劫持。打开Super巡警，点安全优化，选择系统修复，选中修复安全模式启动/映象劫持，修复即可。　　三、安全建议　　1、立即安装或更新防病毒soft并对内存和硬盘全面扫描(推荐安装Super巡警)。　　2、禁用不必要的服务。　　3、不要随便打开不明来历的电子邮件，尤其是邮件附件。　　4、不要随意下载不安全网站的文件并运行。　　5、下载和新拷贝的文件要首先进行查毒。　　6、不要轻易打开即时通讯工具中发来的链接或可执行文件。　　7、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用Super巡警U盘免疫器进行免疫。　　注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，　　在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它：　　%SystemDrive% 系统安装的磁盘分区　　%SystemRoot% = %Windir% WINDODWS系统目录　　%ProgramFiles%　 应用程序默认安装目录　　%AppData% 应用程序数据目录　　%CommonProgramFiles%　 公用文件目录　　%HomePath% 当前活动用户目录　　%Temp% =%Tmp% 当前活动用户临时目录　　%DriveLetter% 逻辑驱动器分区　　%HomeDrive% 当前用户系统所在分区　　建议可以使用Super巡警：对病毒进行彻底查杀，各种木马也无法逃脱，全面保护你的个人电脑的系统安全。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点