Trojan.Win32.Pakes病毒為木馬下載器病毒,運行之後調用調用系統核心程式“ntkrnlpa.exe“,調用API函式GetLocalTime與SetLocalTime獲取系統當前時間並把時間修改為2000年,釋放驅動檔案atapi.sys到%System32%\drivers下,替換系統的驅動檔案,恢復SSDT上主動防禦掛鈎的函式使卡巴斯機主動防禦功能完全失效,創建275458c049c6f881.dat檔案到%HomeDrive%目錄下,並創建服務等待服務載入完畢後將病毒服務與dat檔案刪除。
基本介紹
病毒標籤,病毒描述,行為分析,本地行為,網路行為,注釋,清除方案,
病毒標籤
病毒名稱: Trojan.Win32.Pakes.jsy
病毒類型:木馬下載者
檔案 MD5: E62DB4F95315D04F868490049FDBE5D2
公開範圍:完全公開
危害等級: 4
檔案長度: 9,728 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
病毒描述
該病毒向系統系統進程“explorer.exe”進程注入病毒代碼,使其進程執行病毒指定的惡意代碼,隱藏調用載入iexplore.exe系統進程,將275458c049c6f881.dat病毒檔案代碼寫入該進程記憶體中,等待病毒完全載入完畢後衍生批處理檔案將病毒自身刪掉,連線網路下載大量病毒檔案。
行為分析
本地行為
1、運行之後調用調用系統核心程式“ntkrnlpa.exe“,調用API函式GetLocalTime與SetLocalTime獲取系統當前時間並把時間修改為2000年,釋放驅動檔案atapi.sys到%System32%\drivers下,替換系統的驅動檔案,恢復SSDT上主動防禦掛鈎的函式使卡巴斯機主動防禦功能完全失效。
2、創建275458c049c6f881.dat檔案到%HomeDrive%目錄下,並創建服務等待服務載入完畢後將將病毒服務與dat檔案刪除。
3、向系統系統進程“explorer.exe”進程注入病毒代碼,使其進程執行病毒指定的惡意代碼,隱藏調用載入iexplore.exe系統進程,將275458c049c6f881.dat病毒檔案代碼寫入該進程記憶體中,等待病毒完全載入完畢後衍生批處理檔案將病毒自身刪掉,連線網路讀取http://why38.cn//xz/xz.txt下載大量病毒檔案。
網路行為
協定:TCP
連線埠:80
連線伺服器名:http://wh***.cn//xz/xz.txt
IP位址:219.152.120.***
描述:連線伺服器讀取TXT列表內容下載病毒,讀取的列表內容:
4u***.cn/xz/x.exe
4u***.cn/xz/a.exe
4u***.cn/mm/1.exe
4u***.cn/mm/2.exe
4u***.cn/mm/3.exe
4u***.cn/mm/4.exe
4u***.cn/mm/5.exe
4u***.cn/mm/6.exe
4u***.cn/mm/7.exe
4u***.cn/mm/8.exe
4u***.cn/mm/9.exe
4u***.cn/mm/10.exe
4u***.cn/mm/11.exe
4u***.cn/mm/12.exe
4u***.cn/mm/13.exe
4u***.cn/mm/14.exe
4u***.cn/mm/15.exe
4u***.cn/mm/16.exe
4u***.cn/mm/17.exe
4u***.cn/mm/18.exe
4u***.cn/mm/19.exe
4u***.cn/mm/20.exe
4u***.cn/mm/21.exe
4u***.cn/mm/22.exe
4u***.cn/mm/23.exe
4u***.cn/mm/24.exe
4u***.cn/mm/25.exe
4u***.cn/mm/c2.exe
4u***.cn/mm/c3.exe
it.m***.com/02/7.exe
it.m***.com/02/8.exe
it.m***.com/02/c2.exe
it.m***.com/02/c3.exe
4u***.cn/mm/26.exe
4u***.cn/mm/27.exe
4u***.cn/mm/28.exe
4u***.cn/mm/29.exe
4u***.cn/mm/30.exe
注釋
%System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL進程管理結束iexplore.exe進程。
(2)強行刪除病毒下載的大量病毒檔案:
(註:該病毒下載的病毒列表可能會隨時變化)
%system32%\dllcache\cdaudio.sys
%system32%\dpvvoxmh.dll
%system32%\dpvvoxmh.nls
%system32%\msobjstl.dll
%system32%\msobjstl.nls
%system32%\wcnonpe.dll
%system32%\wcnonpek.exe
%system32%\ihstleuk.dll
%system32%\ihstleuk.nls
%system32%\mstimewd.dll
%system32%\mstimewd.nls
%system32%\adsntzt.dll
%system32%\adsntzt.nls
%system32%\gpsgajba.sys
%system32%\apsghjba.dll
%system32%\lpsgajba.exe
%system32%\ijsgajba.sys
%system32%\lweurqhx.dll
%system32%\lweurqhx.nls
%system32%\scrruncqsj.dll
%system32%\scrruncqsj.nls
%system32%\kncel32.exe
%system32%\kncel32.dll
%system32%\cliconfgzx.dll
%system32%\cliconfgzx.nls
%system32%\mssetd.dll
%system32%\welycz.dll
%system32%\gprD.exe
%system32%\d32dx9.sys
%system32%\dispexcb.dll
%system32%\dispexcb.nls
%system32%\dndsaf.dll
%system32%\dndsaf.dll.LoG
%system32%\kgfghd.dll
%system32%\kgfghd.dll.LoG
%system32%\kbdswjr.dll
%system32%\kbdswjr.nls
%system32%\bootvidgj.dll
%system32%\bootvidgj.nls
%system32%\dpvvoxmh.dll
%system32%\dpvvoxmh.nls
%system32%\msobjstl.dll
%system32%\msobjstl.nls
%system32%\wcnonpe.dll
%system32%\wcnonpek.exe
%system32%\ihstleuk.dll
%system32%\ihstleuk.nls
%system32%\mstimewd.dll
%system32%\mstimewd.nls
%system32%\adsntzt.dll
%system32%\adsntzt.nls
%system32%\gpsgajba.sys
%system32%\apsghjba.dll
%system32%\lpsgajba.exe
%system32%\ijsgajba.sys
%system32%\lweurqhx.dll
%system32%\lweurqhx.nls
%system32%\scrruncqsj.dll
%system32%\scrruncqsj.nls
%system32%\kncel32.exe
%system32%\kncel32.dll
%system32%\cliconfgzx.dll
%system32%\cliconfgzx.nls
%system32%\mssetd.dll
%system32%\welycz.dll
%system32%\dpvvoxmh.dll
%system32%\dpvvoxmh.nls
%system32%\msobjstl.dll
%system32%\msobjstl.nls
%system32%\wcnonpe.dll
%system32%\wcnonpek.exe
