微点交流论坛

标题: “梅勒斯下载器变种KO (Trojan.DL.Win32.Mnless .ko)” TXOMOU.EXE [打印本页]

作者: 点饭的百度空间 时间: 2008-1-4 22:09 标题: “梅勒斯下载器变种KO (Trojan.DL.Win32.Mnless .ko)” TXOMOU.EXE

最近流行的一个通过U盘传播的木马会自动下载网游盗号程序并试图结束多种安全软件进程修改系统时间使某国外杀毒软件授权失效 :(微点发现已知木马名称:Trojan-Downloader.Win32.Agent.nzb

为测试微点的主动防御给病毒加变态壳看看微点的表现:

病毒试图修改注册表禁用任务管理器

微点发现未知木马! 病毒进程被挂起选删除后木马被K进隔离区.

病毒运行后判断%SystemRoot%\system32\TXOMOU.EXE是否存在
C:\sample.bat
c:\sample.exe
%0
如未发现%SystemRoot%\system32\TXOMOU.EXE则创建互斥体%SystemDrive%\SOS

修改注册表自启动修改IE主页视觉隐藏禁用操作系统更新和任务管理器
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D C:\WINDOWS\SYSTEM32\TxoMoU.Exe /F.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f.

下载其它盗号程序查找并关闭以下窗口; 遍历盘符在各分区和U盘等移动存储戒指中复制自身添加autorun.inf利用windows自动播放功能传播病毒

挑两个再试试微点:cool:
a2.exe 木马名称:Trojan-PSW.Win32.OLGames.cua

作者: gh_80000 时间: 2008-1-5 14:06
强！微点总是走在前面。

[ Last edited by gh_80000 on 2008-2-5 at 16:41 ]

作者: lotei 时间: 2008-1-5 16:05
楼主自己的原创么？

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn