微点工具
CMT病毒专杀工具
文件名称:CMTKiller.zip
文件版本:V2.3
支持语言:中文
文件大小:449,233 字节
更新日期:2011-06-29
软件授权:免费
文件名称:CMTKiller.zip
文件版本:V2.3
支持语言:中文
文件大小:449,233 字节
更新日期:2011-06-29
软件授权:免费
中毒现象:
1. 在 C:\Documents and Settings目录下出现Infotmp.txt.
2. appmgmts.dll文件被替换,替换后大小为70.1k,版本信息如下图:
3. 杀毒软件无故退出且无法再次开启。
3. 计算机中大量文件遭到感染。
附图:中毒表象1.JPG
中毒表象2.JPG
2. appmgmts.dll文件被替换,替换后大小为70.1k,版本信息如下图:
3. 杀毒软件无故退出且无法再次开启。
3. 计算机中大量文件遭到感染。
附图:中毒表象1.JPG
中毒表象2.JPG
技术分析:
该病毒主要是通过U盘自动播放或感染PE与压缩包文件进行传播。
1、被感染的样本运行后会在C盘下生成cmt.exe并执行,cmt执行会替换以下系统文件列表中其中一个作为病毒感染主程序,并在drivers目录释放驱动文件(随机数字).Sys,通过驱动强行关闭杀毒软件,恢复SSDT,创建映像劫持再次使其无法开启,下载木马到本地执行。appmgmts.dll
qmgr.dll
shsvcs.dll
mspmsnsv.dll
xmlprov.dll
es.dll
ntmssvc.dll
upnphost.dll
ssdpsrv.dll
netman.dll
mswsock.dll
tapisrv.dll
browser.dll
cryptsvc.dll
pchsvc.dll
regsvc.dll
schedsvc.dll
2、病毒感染本地磁盤中exe、html、asp、aspx、rar等文件,感染过程中会对以下目录进行排除,在其目录的文件不在被感染的范畴之内。
Windows
Documents and Settings
3、枚局域网共享,感染局域网计算机中共享文件。
4、释放随机名字驱动文件hook文件系统设备“IRP_MJ_Directory_Control”“IRP_MJ_Create”,使得自身不被打开与查询。
1、被感染的样本运行后会在C盘下生成cmt.exe并执行,cmt执行会替换以下系统文件列表中其中一个作为病毒感染主程序,并在drivers目录释放驱动文件(随机数字).Sys,通过驱动强行关闭杀毒软件,恢复SSDT,创建映像劫持再次使其无法开启,下载木马到本地执行。appmgmts.dll
qmgr.dll
shsvcs.dll
mspmsnsv.dll
xmlprov.dll
es.dll
ntmssvc.dll
upnphost.dll
ssdpsrv.dll
netman.dll
mswsock.dll
tapisrv.dll
browser.dll
cryptsvc.dll
pchsvc.dll
regsvc.dll
schedsvc.dll
2、病毒感染本地磁盤中exe、html、asp、aspx、rar等文件,感染过程中会对以下目录进行排除,在其目录的文件不在被感染的范畴之内。
Windows
Documents and Settings
3、枚局域网共享,感染局域网计算机中共享文件。
4、释放随机名字驱动文件hook文件系统设备“IRP_MJ_Directory_Control”“IRP_MJ_Create”,使得自身不被打开与查询。