Trojan-Downloader.Win32.Agent.bsc

Trojan-Downloader.Win32.Agent.bsc

該病毒為木馬類,病毒被激活後,複製自身到系統目錄和各個驅動器下;並以多種方式添加啟動項,包括註冊表、 「開始」選單 \程式\啟動、在各個驅動器根目錄下添加 AutoRun自啟動項。病毒還偽裝成網頁的形式,用以迷惑用戶點擊運行。該病毒還可以記錄鍵盤信息,達到其收集敏感信息的目的;主動連線網路下載大量病毒相關檔案。主要傳播途徑為移動存儲介質傳播,還可通過惡意網站、其它病毒 /木馬下載傳播。

病毒名稱

病毒名稱: Trojan-Downloader.Win32.Agent.bsc
病毒類型: 木馬
檔案 MD5: 7F6289796011D6DC1F00447EE501FD68
公開範圍: 完全公開
危害等級: 3
檔案長度: 1,078,784 位元組
感染系統: windows 98以上版本
開發工具: Borland C++
加殼類型: 無

病毒描述

該病毒為木馬類 ,病毒被激活後,複製自身到系統目錄和各個驅動器下;並以多種方式添加啟動項,包括註冊表、「開始」選單 \程式\啟動、 在各個驅動器根目錄下添加 AutoRun自啟動項。病毒還偽裝成網頁的形式,用以迷惑用戶點擊運行。該病毒還可以記錄鍵盤信息,達到其收集敏感信息的目的;主動連線網路下載大量病毒相關檔案。主要傳播途徑為 移動存儲介質傳播,還可通過惡意網站、其它病毒 /木馬下載傳播。
行為分析:
1 、病毒被激活後,複製自身到系統目錄和各個驅動器下,衍生病毒檔案:
%WINDIR%\QQ.exe
%Documents and Settings%\All Users\「開始」選單\
程式\啟動\Internet Explorer.exe
[DRIVE LETTER]:\ Autorun.inf
[DRIVE LETTER]:\ iexplore.exe
[DRIVE LETTER]:\ 網上資料 .htm.exe
2 、添加啟動項,以達到自啟動的目的:
⑴在註冊表中添加啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串: " QQ " = " %WINDIR%\QQ.exe "
⑵在 “「開始」選單\程式\啟動” 中 添加啟動項:
%Documents and Settings%\All Users\「開始」選單\程式\
啟動\Internet Explorer.exe
⑶在各個驅動器根目錄下釋放自身副本,添加AutoRun自啟動項:
[DRIVE LETTER]:\ Autorun.inf
[DRIVE LETTER]:\ iexplore.exe
3 、該病毒具有鍵盤記錄功能,用以記錄用戶的錄入信息。
4、在各個驅動器根目錄下釋放自身副本並命名為:網上資料.htm.exe。以Internet Explorer的圖示為網上資料.htm.exe的顯示圖示,偽裝成網頁的形式,用以迷惑用戶點擊。網上資料 .htm.exe為可變檔案名稱,內部列表為:
網上資料 .htm.exe
下載 .htm.exe
論文 .htm.exe
個人資料 .htm.exe
使用說明 .htm.exe
日記 .htm.exe
readme.htm.exe
重要內容 .htm.exe
未命名 .htm.exe
5、主動連線網路,開啟大量執行緒下載相關病毒檔案信息,下載地址如下:
125.126.1*0.1*4:80
59 .151.2* .1*0:80
125.126.1*4.7* :80
222.28 .1*2.1*0:80
220.181.1* .1*6:80
220.181.1* .1*4:80
221.194.1*4.3* :80
203.209.2*2.6* :80
203.209.2*2.5* :80
60 .28 .2*6.4* :80
60 .191.1*3.9* :80
60 .28 .2*2.6* :80
61 .135.1*1.2*0:80
61 .135.1*1.1*6:80
61 .152.1*8.1*1:80
64 .233.1*9.1*4:80
64 .213.2*0.1*1:80
211.94 .1*4.1*0:80
6、 該病毒通過移動存儲介質,惡意網站、其它病毒/木馬下載傳播, 可以盜取用戶敏感信息。
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。
Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝
路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。

清除方案

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
    (1)使用 安天木馬防線 “進程管理”關閉病毒進程。
    (2)刪除病毒檔案:
%WINDIR%\QQ.exe
%Documents and Settings%\All Users\
「開始」選單\程式\啟動\Internet Explorer.exe
[DRIVE LETTER]:\ Autorun.inf
[DRIVE LETTER]:\ iexplore.exe
[DRIVE LETTER]:\ 網上資料 .htm.exe
    (3)恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
鍵值 : 字串: " QQ " = " %WINDIR%\QQ.exe "
    (4)刪除在 “「開始」選單\程式\啟動” 中 啟動項:
%Documents and Settings%\All Users\
「開始」選單\程式\啟動\Internet Explorer.exe
    (5)在各個 驅動器和 移動存儲介質 根目錄下建 Autorun病毒免疫:
創建 Autorun.inf檔案,屬性設為系統唯讀。

相關搜尋

熱門詞條

聯絡我們