|
VIPTray.exe 简单分析
论坛里面看见很多人电脑上中了 VipTray.exe ,
网友给我们发来了样本文件, 非常感谢。
然后我反运行后, 监视文件和注册表, 发现没什么反应。
后来反汇编, 分析, 发现这个 VipTray.exe 会从
http://ulink4.dudu.com/setup/iebar.exe
下载一个 iebar.exe, 并让用户安装。
而这个里面捆绑了后门。
安装完 iebar.exe 会修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改键值 system 为 C:\WINNT\system32\friendly.exe ZNKwcxv=
创建 BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
DLL 名称为 WinDefendor.dll
同时 VipTray 会注册成系统服务。
服务描述为 :
提供基于 Internet explorer 的网络内容。如果此服务被终止,将会失去这些功能和内容。如果此服务被禁用,其他依赖此服务的网络内容将无法正常运行。
生成的文件有:
c:\WINNT\system32\VIPTray.exe
c:\WINNT\system32\WinDefendor.dll
c:\WINNT\system32\friendly.exe
清除方法:
1、使用“终截者入侵阻止”中的“安全回归”功能,系统启动后, 手工删除掉这三个文件即可。
2、或直接采用 VIPTray.exe 专杀 KV_VIPTray.exe 清除即可!
http://www.s-sos.net
http://bbs.s-sos.net
因为专注 , 所以安全 !
Terminator Lab(终截者入侵阻止实验室)
|
