病毒名稱
Worm.Win32.Agent.az
概述
病毒類型: 蠕蟲類
檔案 MD5: 662122C6F05E39AD820F7EA125EF25D9
公開範圍: 完全公開
危害等級: 4
檔案長度: 加殼後 15,614 位元組,脫殼後66,560 位元組
感染系統: Win9X以上系統
開發工具: Microsoft Visual C++ 6.0
加殼類型: NsPack變形殼
命名對照: BitDefender [GenPack:Generic.Malware.Bdldg.FAE17B32]
病毒描述
該病毒運行後,衍生病毒檔案到系統目錄下。添加註冊表隨機運行項以隨機引導病毒體。
病毒體訪問某動態更新的病毒地址頁面,從而獲得病毒的更新下載地址。下載的病毒體多為
網路遊戲盜號程式。
行為分析
1 、衍生下列副本與檔案:
%C:%\autorun.inf
%C:%\rising.exe
%WinDir%\cmdbs.exe
%WinDir%\macfee.exe
%WinDir%\mppds.exe
%WinDir%\msccrt.exe
%WinDir%\testexe.exe
%WinDir%\winform.exe
%System32%\6D52D174.EXE
%System32%\B0B2C20E.DLL
%System32%\B0B2C20E.EXE
%System32%\cmdbs.dll
%System32%\macfee.dll
%System32%\mppds.dll
%System32%\msccrt.dll
%System32%\testdll.dll
%System32%\winform.dll
2 、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmdbs
Value: String: "%WINDIR%\cmdbs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\macfee
Value: String: "%WINDIR%\macfee.exe /i"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mppds\
Value: String: "%WINDIR%\mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msccrt
Value: String: "%WINDIR%\msccrt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\testrun
Value: String: "%WINDIR%\testexe.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\upxdnd
Value: String: "%DOCUME~1%\ 當前用戶名 \LOCALS~1\Temp\upxdnd.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winForm
Value: String: "%WINDIR%\winform.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\sgktiq98kfb8xz
Value: String: "%\DOCUME~1%\antiy\LOCALS~1\Temp\c0nime.exe"
3 、訪問下列地址獲取要更新的病毒體地址:
(2*2.7*.2*0.*5) n*.5*yl*.cn /soft//update.txt
(6*.1*2.9*.9*)p*pw*n.9*8*.com /update.txt
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線斷開網路,結束病毒進程:
rising.exe
macfee.exe
mppds.exe
cmdbs.exe
msccrt.exe
testexe.exe
winform.exe
6D52D174.EXE
B0B2C20E.DLL
B0B2C20E.EXE
(2) 刪除並恢復病毒添加與修改的註冊表鍵值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\cmdbs
Value: String: "%WINDIR%\cmdbs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\macfee
Value: String: "%WINDIR%\macfee.exe /i"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\mppDs\
Value: String: "%WINDIR%\mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\msccrt
Value: String: "%WINDIR%\msccrt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\testrun
Value: String: "%WINDIR%\testexe.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\upxdnd
Value: String: "%DOCUME~1%\ 當前用戶 \
LOCALS~1\Temp\upxdnd.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\winform
Value: String: "%WINDIR%\winform.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\sgktiq98kfb8xz
Value:String:"%\DOCUME~1%\antiy\LOCALS~1\Temp\c0nime.exe"
(3) 刪除病毒釋放檔案:
%C:%\autorun.inf
%C:%\rising.exe
%WinDir%\cmdbs.exe
%WinDir%\macfee.exe
%WinDir%\mppds.exe
%WinDir%\msccrt.exe
%WinDir%\testexe.exe
%WinDir%\winform.exe
%System32%\6D52D174.EXE
%System32%\B0B2C20E.DLL
%System32%\B0B2C20E.EXE
%System32%\cmdbs.dll
%System32%\macfee.dll
%System32%\mppds.dll
%System32%\msccrt.dll
%System32%\testdll.dll
%System32%\winform.dll