Backdoor.Win32.Agent.ahj

病毒簡介

病毒名稱： Backdoor.Win32.Agent.ahj
病毒類型： 後門
檔案 MD5： 7DB2256231F54B253CCF52D4A6E7E96D
公開範圍： 完全公開
危害等級： 5
檔案長度： 17,801 位元組
感染系統： windows98以上版本
開發工具： Microsoft Visual C++ 6.0
加殼類型： Xtreme-Protector v1.05

病毒描述

該病毒屬後門類，病毒運行後衍生病毒檔案到系統目錄下，並刪除自身，修改註冊表，新建服務，並以服務的方式達到隨機啟動的目的。在 %Favorites% 資料夾中創建 URL 檔案，可以彈出相關色情網站。刪除系統正常服務 ERSvc 。病毒衍生的檔案 992219FBE.DLL 插入系統進程 winlogon.exe 、 scvhost.exe 、 csrss.exe 、 services.exe 、 explorer.exe 中。嘗試關閉卡巴斯基反病毒軟體。

行為分析

1 、病毒運行後衍生病毒檔案：
　%system32%\92219FBE.DLL
　%system32%\92219FBE.EXE
　%system32%\92219FBET.EXE
　%Documents and Settings%\ 計算機用戶名 \ 桌面 \ 免費點歌 .url
　%Documents and Settings%\ 計算機用戶名 \ 桌面 \ 午夜激情 .url
　%Documents and Settings%\ 計算機用戶名 \ 桌面 \ 火爆美女 .url
　%Documents and Settings%\ 計算機用戶名 \Favorites\ 免費點歌 .url
　%Documents and Settings%\ 計算機用戶名 \Favorites\ 午夜激情 .url
　%Documents and Settings%\ 計算機用戶名 \Favorites\ 火爆美女 .url
　%Documents and Settings%\ 計算機用戶名 \Local Settings\
　Temporary Internet Files\Content.IE5\CHUFWD67\i[1].exe
　
2 、修改註冊表：
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\92219FBE
　鍵值 : 字串 : "ImagePath"="C:\WINDOWS\system32\92219FBE.EXE -service"
3 、創建服務，並以服務的方式達到隨機啟動的目的：
　服務名稱： 92219FBE
　顯示名稱： 92219FBE
　描述： 92219FBE
　執行檔的路徑： C:\WINDOWS\system32\92219FBE.EXE -service
　啟動方式：自動
　
4 、刪除系統正常服務 ERSvc ：
　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc
　鍵值 : 字串 : "Description"=" 服務和應用程式在非標準環境下運行時允許錯誤報告 "
5 、會自動彈出色情網站：
　http://www.s*x1*6.cn/vip/
　http://www.5*1*1.com/sg.html
　http://www.5*1*1.com/moyu.html
6 、病毒衍生的檔案 992219FBE.DLL 插入系統進程 winlogon.exe 、 scvhost.exe 、
csrss.exe 、 services.exe 、 explorer.exe 中。
7 、嘗試關閉卡巴斯基反病毒軟體。
8 、嘗試修改系統時間為： 1997 年 11 月 18 日。 ( 修改未成功 )
註： % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 ， windows95/98/me 中默認的安裝路徑是 C:\Windows\System ， windowsXP 中默認的安裝路徑是 C:\Windows\System32 。

清除方案

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。
　 　 (1) 禁止服務： 92219FBE
　 　 (2) 在安全模式下刪除病毒檔案：
%system32%\92219FBE.DLL
%system32%\92219FBE.EXE
%system32%\92219FBET.EXE
%Documents and Settings%\ 計算機用戶名 \ 桌面 \
免費點歌 .url
%Documents and Settings%\ 計算機用戶名 \ 桌面 \
午夜激情 .url
%Documents and Settings%\ 計算機用戶名 \ 桌面 \
火爆美女 .url
%Documents and Settings%\ 計算機用戶名 \Favorites\
免費點歌 .url
%Documents and Settings%\ 計算機用戶名 \Favorites\
午夜激情 .url
%Documents and Settings%\ 計算機用戶名 \Favorites\
火爆美女.url
%Documents and Settings%\ 計算機用戶名 \Local Settings\
Temporary Internet Files\Content.IE5\CHUFWD67\i[1].exe