感染型木馬下載者 tem81.exe 6to4.dll

被感染的檔會釋放tem81.exe 到臨時目錄並運行.

隨後的一系列操作

釋放6to4.dll到SYSTEM32目錄

釋放PCIDUMP.SYS,WMISVC.SYS,,asyncmac.sys到SYSTEM32\DRIVERS目錄

釋放6to4.dll,systembox.bak到SYSTEM32\DLLCACHE目錄

添加服務PCIDump
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCIDump

添加服務WmiSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiSvc

添加服務6to4
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4

其中6to4.dll是一個下載者,又會下載大量的木馬.並會添加一些常見安全軟體的註冊表影響劫持項.防止安全軟體運行.並進行局域網攻擊傳播.會刪除Ghost備份檔案.釋放RAR檔進行感染後重新壓縮.感染檔包括EXE,HTML等網頁檔.創建盤符根目錄下AUTORUN.INF.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

6to4.dll 下載檔案多數存放IE臨時目錄執行後部分檔會自動刪除.
C:\Documents and Settings\當前登錄用戶名\Local Settings\Temporary Internet Files\Content.IE5

部分檔存放在系統磁片根目錄,臨時目錄Temp
C:\
C:\Documents and Settings\當前登錄用戶名\Local Settings\Temp

修復工具已經更新,請下載下載巨盾感染檔修復大全

Virus.Downloader_6to4.exe感染檔案修復工具V1.1

使用方法:

1.先使用巨盾查殺乾淨記憶體中運行的惡意程式,重啟後,再使用修復工具,清除系統中的感染檔(注:此修復工具無刪木馬功能)。
2.本專殺支援拖拽,可以將被感染的檔拖到專殺的視窗上即可自動清除感染部分。

更新歷史:
V1.1 添加PE結構校驗,修復導致程式異常崩潰的情形。
V1.2 修正因pe校驗BUG,導致漏掉修復的問題

 

By tony

自由軟體愛好者~喜歡不斷的思考各種問題,有新的事物都會想去學習嘗試 做實驗並熱衷研究 沒有所謂頂天的技術 只有謙虛及不斷的學習 精進專業,本站主要以分享系統及網路相關知識、資源而建立。 Github http://stnet253.github.io

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料