客服邮箱
kaba365@pcstars.com.cn
销售客服
(购买咨询|订单查询|兑换帮助)
400-819-1313(9:00-18:00)
技术客服
(安装|使用问题咨询)
400-611-6633(5×8小时)
排名 | 病毒名称 | 病毒类型 | 周爆发率(%) |
1. | DangerousObject.Multi.Generic | 危险对象 | 19.16 |
2. | Trojan.Win32.Generic | 木马 | 16.82 |
3. | Virus.Acad.Pasdoc.gen | 病毒 | 5.84 |
4. | Virus.Acad.Generic | 病毒 | 5.74 |
5. | PSWTool.Win32.Dialupass.he | 风险工具 | 4.86 |
6. | HiddenObject.Multi.Generic | 隐藏对象 | 4.30 |
7. | Trojan.Acad.Qfas.b | 木马 | 3.43 |
8. | Net-Worm.Win32.Kido.ir | 网络蠕虫 | 3.20 |
9. | Trojan.Script.Iframer | 木马 | 3.01 |
10. | Net-Worm.Win32.Kido.ih | 网络蠕虫 | 2.80 |
关注恶意软件:
创建文件:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\[随机文件名].dat
C:\Documents and Settings\Infortmp.txt
修改文件:
C:\WINDOWS\system32\tapisrv.dll
创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Marveller
HKEY_LOCAL_MACHINE\SOFTWARE\Marveller LDN hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAPISRV\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAPISRV\0000\Control ActiveService "TapiSrv"
修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TapiSrv Start dword:00000003 dword:00000002
删除注册表:
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
SYSTEM\CurrentControlSet\Control\SafeBoot\Network
主要行为:
这是一个下载器木马。木马运行后会将自身拷贝为临时目录下[随机文件名].dat,之后通过挂钩IMM32.dll中的ImmLoadLayout函数和ntdll.dll中的ZwOpenKey和ZwOpenKeyEx函数并向explorer.exe发送WM_INPUTLANGCHANGEREQUEST消息使得explorer.exe进程运行[随机文件名].dat。之后木马会随机从AppMgmt、Netman、CryptSvc等服务中选择一个,并将自身修改为DLL格式替换原服务对应的DLL,而后将相应的服务设置为自动启动。这样当系统启动这些服务时就会启动木马。为防止用户进入安全模式,木马会删除安全模式相关注册表。木马还会将用户网卡的MAC地址发送到87.138.250.***/aa*/Count.asp?进行安装量统计。木马会从54.169.9.***、115.238.237.***、61.132.227.**等地址下载其它恶意程序。
专家预防建议: