Trojan-Downloader.Win32.Bagle.afy serial.exe 下载者
反病毒引擎
| 版本 | 最后更新 | 扫描结果 |
| AhnLab-V3 | - | - | Win-Trojan/Bagle.856072.H |
| AntiVir | - | - | TR/Dldr.Bagle.afv |
| Authentium | - | - | W32/Downldr2.EXFZ |
| Avast | - | - | Win32:Trojan-gen {Other} |
| AVG | - | - | Win32/Themida |
| BitDefender | - | - | DeepScan:Generic.Bagle.2E66F3DC |
| CAT-QuickHeal | - | - | TrojanDownloader.Bagle.afy |
| ClamAV | - | - | - |
| Comodo | - | - | TrojWare.Win32.TrojanDownloader.Bagle.afy |
| DrWeb | - | - | Trojan.Packed.650 |
| eSafe | - | - | Win32.Bagle.afy |
| eTrust-Vet | - | - | - |
| Ewido | - | - | - |
| F-Prot | - | - | W32/Downldr2.EXFZ |
| F-Secure | - | - | Trojan-Downloader.Win32.Bagle.afy |
| Fortinet | - | - | PossibleThreat |
| GData | - | - | DeepScan:Generic.Bagle.2E66F3DC |
| Ikarus | - | - | Trojan-Downloader.Win32.Bagle |
| K7AntiVirus | - | - | Trojan-Downloader.Win32.Bagle.afy |
| Kaspersky | - | - | Trojan-Downloader.Win32.Bagle.afy |
| McAfee | - | - | Generic Downloader.x |
| McAfee+Artemis | - | - | Generic Downloader.x |
| Microsoft | - | - | Trojan:Win32/Bagle.B |
| NOD32 | - | - | Win32/Bagle.QH |
| Norman | - | - | W32/Malware.EKXG |
| Panda | - | - | W32/Bagle.RC.worm |
| PCTools | - | - | - |
| Prevx1 | - | - | Malicious Software |
| Rising | - | - | - |
| SecureWeb-Gateway | - | - | Trojan.Dldr.Bagle.afv |
| Sophos | - | - | Sus/ComPack-C |
| Sunbelt | - | - | Trojan-Downloader.Win32.Bagle.afy |
| Symantec | - | - | Trojan.Mitglieder |
| TheHacker | - | - | Trojan/Downloader.Bagle.afy |
| TrendMicro | - | - | - |
| VBA32 | - | - | Trojan-Downloader.Win32.Bagle.afy |
| ViRobot | - | - | Trojan.Win32.Downloader-Bagle.856072.D |
| VirusBuster | - | - | - |
|
| 文件名:serial.exe |
| MD5: 9a462896c43fda83efc9df5691573be8 |
| SHA1: 7b96091aa3773763b01b18aba11f765fa7581427 |
| SHA256: 5f0dd8f8ae382152ce7f88894cdaab4a88196b67955628cf6f649f543f2c6de1 |
| SHA512: 740f68b03a2f7a66a91d87593fa9e370ddcbc6cd1cf9b640ae6fe8a96c9983110fa4107bfcaf4315e26f0435048afe625eff329455b96a53a01c1f75041be654 |
网吧观测,结果可能不全,这个是很早前的样本了==========================================================================下载网页都在 C\Documents and Settings\?\Local Settings\Temporary Internet Files\Content.IE5然后存到下面的目录C:\WINDOWS\system32\drivers\downld\4211015.exe
C:\WINDOWS\system32\drivers\downld\4245984.exe
C:\WINDOWS\system32\drivers\downld\4270062.exe
等等七位随机文件名EXE文件,大小都不一样
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe
rootkit的一部分C:\WINDOWS\system32\ban_list.txt
C:\WINDOWS\system32\drivers\srosa2.sys
C:\WINDOWS\system32\drivers\srosa.sys
启动 C:\WINDOWS\system32\drivers\winfilse.exe 不随机 ,然后该程序不断破坏安全模式 注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
?:\kil\SuperKiller.exe 这个运行后,先加载srosa.sys,随后是srosa2.sys ,也调用winfilse.exe
驱动加载后的详情,参见猫叔帖子
http://bbs.ikaka.com/showtopic-8590794.aspx 本次注册表相关截图见回复
防范建议:不要随意运行陌生软件
system32目录,安装完软件后,用NTFS权限禁止新建文件和文件夹(打补丁时再说),看看这些文件的路径特征,尤其是病毒加载驱动后才开始进行更多的破坏以及感染,这确实是简单有效的一个方法
定期清理临时文件
最好新建一个基本用户权限的帐户,平时使用不用管理员帐户
配置好自己的安全防护软件和防火墙,论坛和官网都有相关的图文资料
如果中标:清理病毒的启动项目和文件
删除注册表 HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications 项下的所有执行文件名,这些都是被感染的程序或者根本就是病毒文件,找到原始目录删除,重新安装这些软件。最后再修复安全模式或者,安装PE系统进行清理,然后修复安全模式,直接进安全模式再进行进一步清理用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
