Trojan.BAT.Agent.r

Trojan.BAT.Agent.r

Trojan.BAT.Agent.r是一種木馬病毒,影響Win9x/WinNT系統。行為是修改系統檔案, 修改註冊表,添加啟動項。

病毒簡介

病毒名稱: Trojan.BAT.Agent.r
病毒類型: 木馬
檔案 MD5: 7F2EC65ECF20D065B967526F92AA08A4
公開範圍: 完全公開
危害等級: 3
檔案長度: 150,766 位元組
感染系統: windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: 無
命名對照: AVG [ Trojan horse Constructor.ACG ]
  BitDefender [ Virtool.Constructor.Delf.G ]

病毒描述

該病毒屬木馬類,病毒運行後修改系統檔案, 修改註冊表,添加啟動項,以達到隨機啟動的目的 。病毒修改 host 系統,可以彈出廣告頁。
行為分析:
1 、修改系統檔案:
c:\WINDOWS\system.ini
c:\WINDOWS\system32\drivers\etc\hosts
c:\WINDOWS\win.ini
system.ini 增加的內容:
[boot]
shell=explorer.exe BV2008.bat
win.ini 增加的內容:
[windows]
run=C:\WINDOWS\BV2008.bat
load=C:\WINDOWS\BV2008.bat
host 檔案增加的內容:
127.0.0.1 google.com
127.0.0.1 google.de
127.0.0.1 symantec.de
127.0.0.1 free-av.de
127.0.0.1 free-av.com
127.0.0.1 antivir.de
127.0.0.1 antivir.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky.de
127.0.0.1 microsoft.com
127.0.0.1 microsoft.de
127.0.0.1 sophos.com
127.0.0.1 sophos.de
127.0.0.1 symantec.com
127.0.0.1 hijackthis.de
127.0.0.1 spychecker.com
127.0.0.1 trendmicro.com
127.0.0.1 trendmicro.de
127.0.0.1 lavasoftusa.com
127.0.0.1 yahoo.com
127.0.0.1 www.kingsoft.com
127.0.0.1 www.rising.com
127.0.0.1 www.rising.com.cn
127.0.0.1 www.mmsk.com
127.0.0.1 shadu.baidu.com
127.0.0.1 online.rising.com.cn
2 、修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
值 :字元串 : "html"="C:\WINDOWS\24964.bat"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
值 : 字元串 : "Ravupdate"="C:\WINDOWS\BV2008.bat"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
值 : 字元串 : "Ravupdate"="C:\WINDOWS\BV2008.bat"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
值 : 字元串 : "BV2008"="C:\WINDOWS\BV2008.bat"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File xecution Options\CCenter.exe\
值 : 字元串 : "Debugger"="svchost.exe"
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。

清除方案

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
    (1) 使用 安天木馬防線 “進程管理”關閉病毒進程
    (2) 刪除病毒檔案
刪除
c:\WINDOWS\system.ini
c:\WINDOWS\system32\drivers\etc\hosts
c:\WINDOWS\win.ini
中增加的內容。
    (3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
值 : 字元串 : "html"="C:\WINDOWS\24964.bat"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\
值 : 字元串 : "Ravupdate"="C:\WINDOWS\BV2008.bat"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\
值 : 字元串 : "Ravupdate"="C:\WINDOWS\BV2008.bat"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices\
值 : 字元串 : "BV2008"="C:\WINDOWS\BV2008.bat"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\
Image File Execution Options\CCenter.exe\
值 : 字元串 : "Debugger"="svchost.exe"

相關詞條

相關搜尋

熱門詞條

聯絡我們