介紹
病毒名稱:Trojan-Downloader.Win32.Agent.kid病毒類型:木馬類
危害等級:中
檔案長度:130,048 位元組
檔案MD5:c5aefff0ec6411331479d1d265e6beef
公開範圍:完全公開
感染系統:Win9x以上所有版本
開發工具:Borland Delphi 6.0 - 7.0
加殼工具:ASPack 2.12 -> Alexey Solodovnikov
病毒描述
病毒運行後在%\System32\%釋放病毒副本msq.exe,之後修改註冊表檔案,並添加一項計畫任務,以達到開機啟動和定時安裝病毒檔案的目的。而後嘗試連線網址為h**p://www.qi***.com的網站,下載一個名為1013421.exe的檔案,到本機運行安裝。之後自動下載安裝“中文上網”流氓軟體,釋放大量垃圾檔案。並插入IE執行緒,當IE運行時,會自動運行本地的cdnup.exe連線網路。該病毒對用戶有一定的危害。行為分析
1、該病毒運行後在系統目錄釋放病毒副本%\system32\%msq..exe 314,880 位元組
Trojan-Downloader.Win32.Agent.kid
%\system32\%1013421.exe 93,696 位元組
%\system32\%iexplorer.exe 93,696 位元組
%\system32\%IE_Bar.exe 33,792 位元組
2、新建註冊表項:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\msq
值: 字元串: "%\System32\%iexplorer.exe"
HKEY_CURRENT_USER\Software\msq\
HKEY_CURRENT_USER\Software\msq\http://www.qimop.com
/download/file/1013421.exe
HKEY_LOCAL_MACHINE\SOFTWARE\dmshareware\
HKEY_LOCAL_MACHINE\SOFTWARE\dmshareware\Owner
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\C:\WINNT\System32\IE_Bar.exe
值: 字元串: "%\System32\%IE_Bar.exe:*:Enabled:DM"串: "101342"
3、病毒運行後會嘗試連線下列網址:
h**p://www.qi***.com
Local:1050 => 61.151.253.209:80
Local:1043 => 60.195.253.79:80
Local:1046 => 60.195.253.78:80
Local:1047 => 60.195.253.79:80
Local:1040 => 61.233.41.234:80
4、病毒會添加如下計畫任務:
DM_Install_Program.job%\system32\%ie_bar.exe
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
與病毒名稱同名進程.
(2) 刪除病毒檔案
%\system32\%msq..exe314,880 位元組
%\system32\%1013421.exe 93,696 位元組
%\system32\%iexplorer.exe93,696 位元組
%\system32\%IE_Bar.exe33,792 位元組
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\msq
值: 字元串: "%\System32\%iexplorer.exe"
HKEY_CURRENT_USER\Software\msq\
HKEY_CURRENT_USER\Software\msq\http:
//www.qimop.com
/download/file/1013421.exe
值: 字元串: ""
HKEY_LOCAL_MACHINE\SOFTWARE\dmshareware\
HKEY_LOCAL_MACHINE\SOFTWARE\dmshareware\Owner
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\SharedAccess\Parameters\FirewallPolicy
\StandardProfile\AuthorizedApplications
\List\%\System32\%IE_Bar.exe
值: 字元串: "%\System32\%IE_Bar.exe:*:Enabled:DM"串: "101342"
