对twunk32.exe文件的查杀（此类Trojan.Agent病毒的终结）

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛对twunk32.exe文件的查杀（此类Trojan.Agent病毒的终结）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

对twunk32.exe文件的查杀（此类Trojan.Agent病毒的终结）

UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星	发表于： 2007-01-26 12:18 \| 只看楼主短消息资料字号：小中大 1楼对twunk32.exe文件的查杀（此类Trojan.Agent病毒的终结）来了很长时间没有写过分析贴，今天写一个，有什么不好的不对的地方请指出。 twunk32.exe曾经baohe写过一篇分析贴，但那个是twunk32.exe的早期版本，病毒在变化。我研究的twunk32.exe文件瑞星认为是Trojan.Agent.acb病毒，因为Trojan.Agent种病毒变种很多而且添加修改文件及注册表均不相同，所以根本没有办法写统一的分析，只能分类去写，今天先写twunk32.exe的分析。说了这么多废话，下面言归正传：文件添加以及病毒运行方式：我先来说此病毒的运行，运行文件后病毒会删除自身，生成下面两个文件： C:\WINDOWS\system32\drivers\usbme.sys C:\WINDOWS\system32\twunk32.exe 当病毒启动的时候会运行twunk32.exe文件，同样运行后删除自身再建立两个新的文件。（奇怪：我在虚拟机下反复运行C:\WINDOWS\system32\drivers\usbme.sys文件都为0KB）病毒启动方式：病毒通过注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run随Explorer.exe启动众所周知，默认情况下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\下面并不存在Explorer主键，而病毒会添加这个主键，和其下面的run主键，来达到病毒运行的目的，Explorer.exe文件就是桌面文件，随此文件启动有一个好处，没有进程。我查找很长时间，没有发现此病毒进程。说一下具体添加：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\twin: 43 3A 5C 57 49 4E 44 4F 57 53 5C 73 79 73 74 65 6D 33 32 5C 74 77 75 6E 6B 33 32 2E 65 78 65 00 00 00 00 00 00 00 （一串0）可能大家就遗祸了，正常启动的添加不是指向文件么，为什么后面是添加的是43 3A 5C 57 49 4E 44 4F 57 53 5C 73 79 73 74 65 6D 33 32 5C 74 77 75 6E 6B 33 32 2E 65 78 65，这个是16进制数，也是ASCII码，病毒通过ASCII码添加注册表启动项，启动C:\WINDOWS\system32\twunk32.exe文件以上就是此病毒的病毒分析病毒删除：我习惯写用冰刃的删除方法：打开冰刃，点击注册表，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run删除下面的twin项点击文件，删除上面所提到的两个文件。重新启动就可以删除此病毒这是Trojan.Agent.acb病毒的分析，请多提宝贵意见。写到这里并没有完成题目的任务，所以我会在下面进行补充 2007-02-07 14:40:20.577000000
UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星	分享到：

UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星	发表于： 2007-01-26 12:22 \| 只看楼主短消息资料字号：小中大 2楼补充： twunk32.exe文件除了Trojan.Agent.病毒利用以外，Trojan.PSW.LMir.病毒也同样利用。说一下此类病毒的共性和识别方法。病毒识别：第一，都会建立twunk32.exe，目录为c:\windows\system32\ 第二，注册表全部添加在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run里面，名称为twin 第三，文件运行会自动删除，并重新建立。有以上特点的就中了此病毒，可以通过System Repair Engineer扫描软件来看是否中毒解决方法：打开冰刃在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\键值，删除Explorer主键删除文件twunk32.exe，可能在Trojan.Agent.*病毒中有一些sys文件需要删除，可以把病毒副本在非感染的计算机中运行，运行时需要一款监视文件修改的软件，可以使用filemon，除了filemon外，有RegShot软件也非常好用，它是用来做对比的，在运行前拍一个快照，运行后在拍一个，两个进行对比，所有修改文件和修改的注册表就用txt形式表现出来。如果不敢自己试验的可以发送到我的邮箱，我帮助你进行试验这个病毒并不是很那删除，希望大家仔细观察就可以删除这个病毒冰刃下载地址：http://www.ttian.net/website/2005/0829/391.html SRE下载地址：http://www4.skycn.com/soft/23312.html
UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星

UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星	发表于： 2007-01-26 13:49 \| 只看楼主短消息资料字号：小中大 3楼自己顶一下希望多提意见和建议
UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星

UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星	发表于： 2007-01-28 02:10 \| 只看楼主短消息资料字号：小中大 4楼。。。此类问题，希望大家可以解决，学习更多知识
UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星

龙在天宵初生襁褓狮帖子:125 注册: 2006-11-24 来自:	发表于： 2007-01-28 10:28 \| 短消息资料字号：小中大 5楼多谢楼主
龙在天宵初生襁褓狮帖子:125 注册: 2006-11-24 来自:

最恨是病毒初生襁褓狮帖子:1 注册: 2007-01-28 来自:	发表于： 2007-01-28 13:32 \| 短消息资料字号：小中大 6楼请教高手一个问题，我玩网络游戏，被盗号了。后来找回来了但装备什么的都没有可。应该是中了木马程序，将系统重装，再上又被盗了，恨烦恼了，会不会重装系统没有用呢，有什么方法解决吗？？？急！！
最恨是病毒初生襁褓狮帖子:1 注册: 2007-01-28 来自:

xiaoyueIQ 强壮不惑狮帖子:1076 注册: 2006-11-11 来自:蓝迪亚斯	发表于： 2007-02-07 14:25 \| 短消息资料字号：小中大 7楼支持
xiaoyueIQ 强壮不惑狮帖子:1076 注册: 2006-11-11 来自:蓝迪亚斯

拙长孩提狮

帖子:81
注册: 2006-12-18
来自:

发表于： 2007-02-07 14:35 | 短消息资料

字号：小中大 8楼

引用:

【最恨是病毒的贴子】请教高手一个问题，我玩网络游戏，被盗号了。后来找回来了但装备什么的都没有可。应该是中了木马程序，将系统重装，再上又被盗了，恨烦恼了，会不会重装系统没有用呢，有什么方法解决吗？？？
急！！
………………

IE没打补丁,装好系统后上了xxx网又感染了.又或者你的其他分区仍有病毒,即使重装仍有机会感染.完整的重装是将所有分区全部格了再装.

xiaoyueIQ 强壮不惑狮帖子:1076 注册: 2006-11-11 来自:蓝迪亚斯	发表于： 2007-02-07 14:37 \| 短消息资料字号：小中大 9楼我看其他分区仍有病毒的可能性大些
xiaoyueIQ 强壮不惑狮帖子:1076 注册: 2006-11-11 来自:蓝迪亚斯

拙长孩提狮

帖子:81
注册: 2006-12-18
来自:

发表于： 2007-02-07 14:40 | 短消息资料

字号：小中大 10楼

引用:

【UFO不幸外人的贴子】默认情况下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\下面并不存在Explorer主键，而病毒会添加这个主键，和其下面的run主键，来达到病毒运行的目的，Explorer.exe文件就是桌面文件，随此文件启动有一个好处，没有进程。

不可能没进程的,这个RUN与另一个RUN的功能都是一样,以进程方式启动.除非是隐藏进程,但可以用冰刃之类工具查看.

<<上一主题|下一主题>>

1 / 1 页

跳转页

UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星	发表于： 2007-01-26 12:18 \| 只看楼主短消息资料字号：小中大 1楼对twunk32.exe文件的查杀（此类Trojan.Agent病毒的终结）来了很长时间没有写过分析贴，今天写一个，有什么不好的不对的地方请指出。 twunk32.exe曾经baohe写过一篇分析贴，但那个是twunk32.exe的早期版本，病毒在变化。我研究的twunk32.exe文件瑞星认为是Trojan.Agent.acb病毒，因为Trojan.Agent种病毒变种很多而且添加修改文件及注册表均不相同，所以根本没有办法写统一的分析，只能分类去写，今天先写twunk32.exe的分析。说了这么多废话，下面言归正传：文件添加以及病毒运行方式：我先来说此病毒的运行，运行文件后病毒会删除自身，生成下面两个文件： C:\WINDOWS\system32\drivers\usbme.sys C:\WINDOWS\system32\twunk32.exe 当病毒启动的时候会运行twunk32.exe文件，同样运行后删除自身再建立两个新的文件。（奇怪：我在虚拟机下反复运行C:\WINDOWS\system32\drivers\usbme.sys文件都为0KB）病毒启动方式：病毒通过注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run随Explorer.exe启动众所周知，默认情况下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\下面并不存在Explorer主键，而病毒会添加这个主键，和其下面的run主键，来达到病毒运行的目的，Explorer.exe文件就是桌面文件，随此文件启动有一个好处，没有进程。我查找很长时间，没有发现此病毒进程。说一下具体添加：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\twin: 43 3A 5C 57 49 4E 44 4F 57 53 5C 73 79 73 74 65 6D 33 32 5C 74 77 75 6E 6B 33 32 2E 65 78 65 00 00 00 00 00 00 00 （一串0）可能大家就遗祸了，正常启动的添加不是指向文件么，为什么后面是添加的是43 3A 5C 57 49 4E 44 4F 57 53 5C 73 79 73 74 65 6D 33 32 5C 74 77 75 6E 6B 33 32 2E 65 78 65，这个是16进制数，也是ASCII码，病毒通过ASCII码添加注册表启动项，启动C:\WINDOWS\system32\twunk32.exe文件以上就是此病毒的病毒分析病毒删除：我习惯写用冰刃的删除方法：打开冰刃，点击注册表，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run删除下面的twin项点击文件，删除上面所提到的两个文件。重新启动就可以删除此病毒这是Trojan.Agent.acb病毒的分析，请多提宝贵意见。写到这里并没有完成题目的任务，所以我会在下面进行补充 2007-02-07 14:40:20.577000000
UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 对twunk32.exe文件的查杀（此类Trojan.Agent病毒的终结）

对twunk32.exe文件的查杀（此类Trojan.Agent病毒的终结）

对twunk32.exe文件的查杀（此类Trojan.Agent病毒的终结）

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛对twunk32.exe文件的查杀（此类Trojan.Agent病毒的终结）