关于最新版机器狗（AtiSrv.exe）详细分析(图)

对机器狗这个病毒我们可以说是久闻大名,下面我们来看关于它的详细分析,有利于以后我们面对未知病毒,然后采取相应查杀措施.

本周一款融合机器狗、auto木马群、磁碟机特点的病毒大范围爆发。其主文件名为：AtiSrv.exe
该病毒会迫使杀毒软件失效，安全模式加载、下载大量盗号木马、劫持浏览器、写入rootkits驱动进行自保护....

该病毒简单特征分析：

释放自身到启动文件夹随机加载：
%ALLUSERSPROFILE%\「开始」菜单\程序\启动\AtiSrv.exe 如图所示：

写入执行挂钩：
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
   ffHADHAD1042.dll
HKCR\CLSID\{1133c611-c3b1-4626-bd63-6605ea0d3486}
c:\windows\system32\ffhadhad1042.dll
   Microsoft
HKCR\CLSID\{45AADFAA-DD36-42AB-83AD-0521BBF58C24}
c:\windows\system32\zjydcx.dll
   Microsoft
HKCR\CLSID\{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}
c:\windows\system32\zgxfdx.dll
   Microsoft
HKCR\CLSID\{1DB3C525-5271-46F7-887A-D4E1ADAA7632}
c:\windows\system32\hfrdzx.dll
   fJACJAC1041.dll
HKCR\CLSID\{6b22d384-97ba-4c43-81ab-a6bb24e9d831}
c:\windows\system32\fjacjac1041.dll
   fNNBNNB1032.dll
HKCR\CLSID\{a6f28a4f-afc8-430e-9093-25083eb3aa77}
c:\windows\system32\fnnbnnb1032.dll
   fSACSAC1016.dll
HKCR\CLSID\{f93de3de-bc82-4f9a-a3fc-e49c4fe9c38d}
c:\windows\system32\fsacsac1016.dll
   winsys8v.sys
HKCR\CLSID\{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}
c:\program files\internet explorer\plugins\winsys8v.sys（该文件会同时写入BHO加载）

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点