Trojan/Win32.Murlo.aab[Downloader]行为分析-本地行为
文件运行后会释放以下文件:
%System32%\ctfmon.exe
%Windir%\Tasks\1
%Temp%\1696
%非系统驱动器下的含exe文件的目录%\usp10.dll
新增注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
新: DWORD: 2 (0x2)
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe\Debugger
键值: 字符串: "svchost.exe"
遍历进程,对特定进程进行处理:
结束下列进程名:
kavstart.exe
kissvc.exe
kmailmon.exe
kpfw32.exe
kpfwsvc.exe
kwatch.exe
ccenter.exe
ras.exe
rstray.exe
rsagent.exe
ravtask.exe
ravstub.exe
ravmon.exe
ravmond.exe
avp.exe
360safebox.exe
360Safe.exe
Thunder5.exe
rfwmain.exe
rfwstub.exe
rfwsrv.exe
对下面的进程进行实时监控,一经发现马上关闭:
cmd.exe
thunder5.exe
检测当前窗口的类名称是否为"AfxControlBar42s",向该窗口发送WM_CLOSE消息,并模拟键盘的回车键。
创建提权服务,提升为SeDebugPrivilege权限,服务在注册表中的路径为:
HKLM\SYSTEM\CurrentControlSet\Services\io
调用控制码替换系统文件,建立“\\.\safebreas” 通过DeviceIoControl调用0x22001c,替换系统文件ctfmon.exe。
扩展资料
木马病毒Trojan/Win32.Murlo.aabDownloader
多重随机标签