病毒介紹
病毒名稱: Trojan-Downloader.Win32.Agent.arq
病毒類型: 木馬
檔案 MD5: 7BBABD2D788A860BA42D1D0809A07CB3
公開範圍: 完全公開
檔案長度: 174,811 位元組
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: NsPacK V3.7
命名對照: Symentec[Trojan Horse]
Mcafee[無]
病毒描述
該病毒屬木馬類,病毒運行後衍生病毒檔案%system32%\kb8964225.log,修改註冊表,開啟Network Logon服務,使病毒作者可以對用戶進行遠程控制,衍生的病毒檔案kb8964225.log可以盜取用戶的敏感信息。
行為分析:
1、病毒運行後衍生病毒檔案:
病毒路徑\ 名病毒名
%system32%\kb8964225.log Trojan-PSW.Win32.Delf.lf
kb8964225.log實際上是一個DLL檔案,該檔案病毒名為Trojan-PSW.Win32.Delf.lf。可以盜取用戶的敏感信息。
2、病毒運行後修改註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
鍵值: 字串: "NetWorkLogon "="支持網路上計算機遠程登入事件。如果此服務被停用,網路登入將不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
鍵值: 字串: "DisplayName "="Network Logon"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
鍵值: 字串: " ImagePath "="undll32.exe KB8964225.log,start"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
鍵值: 字串: " ObjectName " ="LocalSystem"
3、開啟NetworkLogon服務,使病毒作者可以對用戶進行遠程控制:
NetWorkLogon 服務:支持網路上計算機遠程登入事件。如果此服務被停用,網路登入將不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%system32%\kb8964225.log
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
鍵值: 字串: "NetWorkLogon "="支持網路上計算機遠程登入事件。如果此服務被停用,網路登入將不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
鍵值: 字串: "DisplayName "="Network Logon"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
鍵值: 字串: " ImagePath "="undll32.exe KB8964225.log,start"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
鍵值: 字串: " ObjectName " ="LocalSystem