关于TXP1atform.exe文件病毒地处理疑难

来源:互联网
更新时间:2016/12/13 1:21:30
责任编辑:李志喜
字体:

14black" id=text> 前不久在网吧中了此病毒,经过一番折腾,得出些许心得,仍迷惑丛丛,望热心人热点!

个人分析如下:

进程映象名:TXP1atform.exe;

文件大小:81KB

感染后发生的改变:

1.在%systemroot%\system32\drivers文件夹下生成TXP1atform.exe文件;

2.在注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下生成值名为Explorer,类型为REG_SZ,数据为%systemroot%\system32\drivers\TXP1atform.exe的键值项;(随机器启动)

3.修改注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]键值及添加子项,在该子键下的生成N多子项,这些子项均为主流的杀毒软件名,在每个子键中添加键值名为Debugger,类型REG_SZ,数据为ntsd -d 的键值项,使各种杀毒软件被NTSD作为调试对象而被‘杀死’,造成了所谓的映象劫持;

4.修改注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]键值项SuperHidden的数据为1,Hidden的数据为1,隐藏受保护文件;

5.修改注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]键值项CheckedValue的数据为0,使具隐藏属性的文件及文件夹不能被显示;

6.受感染的可执行文件的文件大小增加81KB,原因是该文件被病毒文件在其文件头写入了病毒体(即病毒自身,病毒文件大小81KB).

7.执行染毒文件时,先加载前81KB(即病毒体),病毒体以命令行方式在用户临时文件夹中(%temp%)生成xx$$.bat批处理文件,其中xx为随机数字.

8.xx$$.bat的内容为:

:try1

del "E:\Program Files\fenglei\fenglei.exe"

if exist "E:\Program Files\fenglei\fenglei.exe" goto try1

ren "E:\Program Files\fenglei\fenglei.exe.exe" "fenglei.exe"

if exist "E:\Program Files\fenglei\fenglei.exe.exe" goto try2

"E:\Program Files\fenglei\fenglei.exe"

:try2

del %0

(其中"E:\Program Files\fenglei\fenglei.exe"为受病毒感染的可执行文件,随文件的不同而不同)

9.染毒文件以xx$$.bat为父进程启动,xx$$.bat同时加载病毒文件TXP1atform.exe(该病毒位于%systemroot%\system32\drivers目录下,提取了当前染毒文件的图标).

www.xue163.com true /4/49689.html report 1740 关于TXP1atform.exe文件病毒地处理疑难,14blackid=text前不久在网吧中了此病毒,经过一番折腾,得出些许心得,仍迷惑丛丛,望热心人热点!个人分析如下:进程映象名:TXP1atform.exe;文件大小:81KB感染后发生的改变:1.在%systemroot%\system32...
最近关注
首页推荐
热门图片
最新添加资讯
24小时热门资讯
精彩资讯
精彩推荐
热点推荐
真视界
精彩图片
社区精粹
关于本站 | 广告服务 | 手机版 | 商务合作 | 免责申明 | 招聘信息 | 联系我们
Copyright © 2004-2016 Xue163.com All Rights Reserved. 学网 版权所有
京ICP备10044368号-1 京公网安备11010802011102号
荐闻 | 学网头条知识问答 | 装修 | 作业 | 荐闻 | 学网头条精彩微信 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 猎奇 | 精彩看点 | 图库 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 精彩微信 | 猎奇 | 精彩看点 | 图库编程 方案 信息windows方案windows answer文档机构教育文档问答中心IT编程数码信息解决方案信息中心IT科技