卡小 2008-7-24 22:00
[2008-07-24] 警惕木马下载者Trojan.Win32.Pakes.jsy
警惕木马下载者Trojan.Win32.Pakes.jsy
Trojan.Win32.Pakes.jsy该病毒为木马下载器病毒,运行之后调用调用系统内核程序“ntkrnlpa.exe“,调用API函数GetLocalTime与SetLocalTime获取系统当前时间并把时间修改为2000年,释放驱动文件atapi.sys到%System32%\drivers下,替换系统的驱动文件,恢复SSDT上主动防御挂钩的函数使卡巴斯机主动防御功能完全失效,创建275458c049c6f881.dat文件到%HomeDrive%目录下,并创建服务等待服务加载完毕后将病毒服务与dat文件删除。向系统系统进程“explorer.exe”进程注入病毒代码,使其进程执行病毒指定的恶意代码,隐藏调用加载iexplore.exe系统进程,将275458c049c6f881.dat病毒文件代码写入该进程内存中,等待病毒完全加载完毕后衍生批处理文件将病毒自身删掉,连接网络下载大量病毒文件。
清除方案:
1. 使用安天木马防线可彻底清除此病毒(推荐)。
2. 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL进程管理结束iexplore.exe进程。
(2) 强行删除病毒下载的大量病毒文件