木马下载者Trojan-Downloader.Win32.FakeFolder.c手工清除解决方案

您当前所在位置：IT猫扑网 > 网络安全 > 病毒防治 > 木马下载者Trojan-Downloader.Win32.FakeFolder.c手工清除解决方案

木马下载者Trojan-Downloader.Win32.FakeFolder.c手工清除解决方案 时间：2015-06-28 00:00 来源：IT猫扑网|http://www.itmop.com/ 作者：网管联盟 我要评论(0): 手动解决办法：

1.停止并删除服务&Avt-Net&

2.手动删除文件

&%ProgramFiles%vvpvs.exe&
&%ProgramFiles%syslass.cpl&
&%SystemRoot%system32svcnet32.dll&
&%ProgramFiles%Common FilesPluginsindex.txt&
&%ProgramFiles%Common FilesPlugins&目录中多个文件
可移动磁盘中图标为文件夹格式的所有exe文件

3.手动修改注册表

删除键值项
&HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHostAvt-Net&
&HKEY_CLASSES_ROOTexefileNeverShowExt&
修改删除键值项
&HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced Hidden&
&HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden&
&HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer AdvancedFolderHiddenSHOWALLCheckedValue&

变量声明：

　　%SystemDriver%　　　　　　　系统所在分区，通常为&C:&
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为&C:Windows&
　　%Documents and Settings%　　用户文档目录，通常为&C:Documents and Settings&
　　%Temp%　　　　　　　　　　　临时文件夹，通常为&C:Documents and Settings当前用户名称Local SettingsTemp&
　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：&C:ProgramFiles& 病毒分析：

1.将自身拷贝重命名为&C:Program Filesvvpvs.exe&，并创建新进程执行该文件。
2.创建新进程，执行命令&C:WINDOWSsystem32cmd.exe /c del 病毒主程序 > nul&，将自身文件删除。
3.&C:Program Filesvvpvs.exe&执行之后：
(1)将自身拷贝重命名为&C:Program Filessyslass.cpl&，设置该文件属性为只读、系统、隐藏，并设置自身文件属性为隐藏。
(2)创建名字为&Avt-Net&的服务，执行映像指向&%SystemRoot%system32svchost -k Avt-Net&，启动类型为自动，并设置该服务的&Description&、&Group&、&Type& 、&FailureAction&等属性。
(3)获取系统目录，创建文件&C:WINDOWSsystem32svcnet32.dll&，写入病毒数据，设置该文件属性为只读、系统、隐藏。
(4)设置键值项&HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAvt-NetParametersServiceDll& = &%SystemRoot%system32svcnet32.dll&、&HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHostAvt-Net& = &Avt-Net&，之后启动服务&Avt-Net&。
(5)设置键值项&HKEY_CLASSES_ROOTexefileNeverShowExt& = 0
&HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer AdvancedHidden& = 2
&HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden& = 0
&HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced FolderHiddenSHOWALLCheckedValue& = 0x00000001 (1)以隐藏文件扩展名和隐藏文件。
(6)创建新进程，执行命令&C:WINDOWSsystem32cmd.exe /c del C:PROGRA~1vvpvs.exe > nul&，将自身文件删除。
4.&Avt-Net&服务运行之后：
(1)创建名字为&_u_hook&的互斥对象，防止重复运行。
(2)创建目录&C:Program FilesCommon FilesPlugins&，解密网址，下载文件&http://messager.x**p.net:99/index.txt&保存为&C:Program FilesCommon FilesPluginsindex.txt&。
(3)读取文件&C:Program FilesCommon FilesPluginsindex.txt&中的病毒网址信息并下载到本地目录&C:Program FilesCommon FilesPlugins&中，设置病毒文件属性为隐藏，并创建新进程执行,之后删除文件&C:Program FilesCommon FilesPluginsindex.txt&。
(4)遍历所有可移动磁盘，并将其中所有文件夹设置属性为只读、系统、隐藏，并将病毒文件拷贝重命名为同名文件，迷惑用户点击，已达到恶意传播的目的。

病毒创建文件：

&%ProgramFiles%vvpvs.exe&
&%ProgramFiles%syslass.cpl&
&%SystemRoot%system32svcnet32.dll&
&%ProgramFiles%Common FilesPluginsindex.txt&
&%ProgramFiles%Common FilesPlugins&目录中多个文件
可移动磁盘中图标为文件夹格式的所有exe文件

病毒删除文件：

&%ProgramFiles%vvpvs.exe&
&%ProgramFiles%Common FilesPluginsindex.txt&
病毒文件自身

病毒修改注册表：

创建键值项：
&HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHostAvt-Net&
&HKEY_CLASSES_ROOTexefileNeverShowExt&
修改键值项：
&HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced Hidden&
&HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced ShowSuperHidden&
&HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced FolderHiddenSHOWALLCheckedValue&

病毒访问网络：

&http://messager.x**p.net:99/index.txt&以及从该文件中读取的多个病毒文件网址
&http://www.mili****foucs.net:99&
关键词标签：木马,下载,Trojan-Dow

文章评论

查看所有0条评论>>