微点交流论坛 - 反病毒 - “梅勒斯下载器变种KO (Trojan.DL.Win32.Mnless .ko)” TXOMOU.EXE

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 反病毒 » “梅勒斯下载器变种KO (Trojan.DL.Win32.Mnless .ko)” TXOMOU.EXE

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 “梅勒斯下载器变种KO (Trojan.DL.Win32.Mnless .ko)” TXOMOU.EXE

最近流行的一个通过U盘传播的木马会自动下载网游盗号程序并试图结束多种安全软件进程修改系统时间使某国外杀毒软件授权失效

微点发现已知木马名称:Trojan-Downloader.Win32.Agent.nzb

为测试微点的主动防御给病毒加变态壳看看微点的表现:

病毒试图修改注册表禁用任务管理器

微点发现未知木马! 病毒进程被挂起选删除后木马被K进隔离区.

病毒运行后判断%SystemRoot%\system32\TXOMOU.EXE是否存在
C:\sample.bat
c:\sample.exe
%0
如未发现%SystemRoot%\system32\TXOMOU.EXE则创建互斥体%SystemDrive%\SOS

修改注册表自启动修改IE主页视觉隐藏禁用操作系统更新和任务管理器
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D C:\WINDOWS\SYSTEM32\TxoMoU.Exe /F.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f.

下载其它盗号程序查找并关闭以下窗口; 遍历盘符在各分区和U盘等移动存储戒指中复制自身添加autorun.inf利用windows自动播放功能传播病毒

挑两个再试试微点

a2.exe 木马名称:Trojan-PSW.Win32.OLGames.cua

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-1-4 22:09

gh_80000
注册用户

积分 192
发帖 174
注册 2007-2-4

#2

强！微点总是走在前面。

[ Last edited by gh_80000 on 2008-2-5 at 16:41 ]

※ ※ ※ 本文纯属【gh_80000】个人意见，与【微点交流论坛】立场无关※ ※ ※

[size=3][color=red]XP_SP2电脑公司经典版8.0 CPU1.7GHz256MB 微点程序版本:最新[/color][/size]

2008-1-5 14:06

lotei
版主

病毒区地方父母官

积分 776
发帖 775
注册 2006-10-14
来自被人们遗忘了的村庄

#3

楼主自己的原创么？

※ ※ ※ 本文纯属【lotei】个人意见，与【微点交流论坛】立场无关※ ※ ※

让自己更加睿智，其实看透了！你就放下了！

2008-1-5 16:05

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号