名詞解釋
Win32.Agent.sd
病毒別名: 處理時間:2007-04-06 威脅級別:★
中文名稱: 病毒類型:Win32病毒 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
該病毒是一個後門程式。該病毒將一正常檔案放在資源節中,運行時會釋放並運行正常檔案,以欺騙用戶達到隱藏自身的目的。
病毒行為
1、生成的檔案
%Program Files%\Internet Explorer\Update.exe(原病毒檔案拷貝)
%WINDOWS%\flash.exe(該病毒釋放的非病毒執行檔)
2、添加啟動偽系統服務
HKLM\System\CurrentControlSet\Services\DNS Servers
"Type" = "0x110"
HKLM\System\CurrentControlSet\Services\DNS Servers
"Start" = "0x2"
HKLM\System\CurrentControlSet\Services\DNS Servers
"ImagePath" = "%Program Files%\Internet Explorer\Update.exe"
HKLM\System\CurrentControlSet\Services\DNS Servers
"Description" = "為本地連線internet 記錄日誌或更新Microsoft 相關程式服務"
3、添加TypeLib組件
HKCR\TypeLib\\1.0
"(Default)" = "GUISer 1.0 Type Library"
HKCR\TypeLib\\1.0\0\win32
"(Default)" = "%Program Files%\Internet Explorer\Update.exe"
4、會下載並執行其他病毒。
http://www.zuyu.net/iis/iis.***
5、添加註冊表感染信息
HKLM\Software\Microsoft\Windows\CurrentVersion
"Internet Explorer update" = "WINDOWS"
HKLM\Software\Microsoft\Windows
"YYYY" = "update"
6、將Macromedia Flash Player 8.0 r22正常檔案放在類型為exe的資源中。
運行該病毒會打開Macromedia Flash Player 8.0程式
