Trojan-Downloader.Win32.Agent.arq

病毒介紹

病毒名稱： Trojan-Downloader.Win32.Agent.arq
病毒類型： 木馬
檔案 MD5： 7BBABD2D788A860BA42D1D0809A07CB3
公開範圍： 完全公開
檔案長度： 174,811 位元組
感染系統： Windows98以上版本
開發工具： Borland Delphi 6.0 - 7.0
加殼類型： NsPacK V3.7
命名對照： Symentec[Trojan Horse]
　 Mcafee[無]

病毒描述

　該病毒屬木馬類，病毒運行後衍生病毒檔案%system32%\kb8964225.log，修改註冊表，開啟Network Logon服務，使病毒作者可以對用戶進行遠程控制，衍生的病毒檔案kb8964225.log可以盜取用戶的敏感信息。
行為分析：
1、病毒運行後衍生病毒檔案：
　病毒路徑\ 名病毒名
　%system32%\kb8964225.log　Trojan-PSW.Win32.Delf.lf
kb8964225.log實際上是一個DLL檔案，該檔案病毒名為Trojan-PSW.Win32.Delf.lf。可以盜取用戶的敏感信息。
2、病毒運行後修改註冊表項： 　
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
鍵值: 字串: "NetWorkLogon "="支持網路上計算機遠程登入事件。如果此服務被停用，網路登入將不可用。如果此服務被禁用，任何依賴它的服務將無法啟動。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
鍵值: 字串: "DisplayName "="Network Logon"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
鍵值: 字串: " ImagePath "="undll32.exe KB8964225.log,start"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
鍵值: 字串: " ObjectName " ="LocalSystem"　
3、開啟NetworkLogon服務，使病毒作者可以對用戶進行遠程控制：
NetWorkLogon 服務：支持網路上計算機遠程登入事件。如果此服務被停用，網路登入將不可用。如果此服務被禁用，任何依賴它的服務將無法啟動。
註：% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案：
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%system32%\kb8964225.log
(3) 恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
鍵值: 字串: "NetWorkLogon "="支持網路上計算機遠程登入事件。如果此服務被停用，網路登入將不可用。如果此服務被禁用，任何依賴它的服務將無法啟動。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
鍵值: 字串: "DisplayName "="Network Logon"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
鍵值: 字串: " ImagePath "="undll32.exe KB8964225.log,start"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
鍵值: 字串: " ObjectName " ="LocalSystem