| 词条 | Trojan.BAT.Agent.r |
| 释义 | 该病毒属木马类,病毒运行后修改系统文件, 修改注册表,添加启动项,以达到随机启动的目的 。病毒修改 host 系统,可以弹出广告页。 基本信息病毒名称: Trojan.BAT.Agent.r 病毒类型: 木马 文件 MD5: 7F2EC65ECF20D065B967526F92AA08A4 公开范围: 完全公开 危害等级: 3 文件长度: 150,766 字节 感染系统: windows98以上版本 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: 无 命名对照: AVG [ Trojan horse Constructor.ACG ] BitDefender [ Virtool.Constructor.Delf.G ] 行为分析1 、修改系统文件: c:\\WINDOWS\\system.ini c:\\WINDOWS\\system32\\drivers\\etc\\hosts c:\\WINDOWS\\win.ini system.ini 增加的内容: [boot] shell=explorer.exe BV2008.bat win.ini 增加的内容: [windows] run=C:\\WINDOWS\\BV2008.bat load=C:\\WINDOWS\\BV2008.bat host 文件增加的内容: 127.0.0.1 google.com 127.0.0.1 google.de 127.0.0.1 symantec.de 127.0.0.1 free-av.de 127.0.0.1 free-av.com 127.0.0.1 antivir.de 127.0.0.1 antivir.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky.de 127.0.0.1 microsoft.com 127.0.0.1 microsoft.de 127.0.0.1 sophos.com 127.0.0.1 sophos.de 127.0.0.1 symantec.com 127.0.0.1 hijackthis.de 127.0.0.1 spychecker.com 127.0.0.1 trendmicro.com 127.0.0.1 trendmicro.de 127.0.0.1 lavasoftusa.com 127.0.0.1 yahoo.com 127.0.0.1 www.kingsoft.com 127.0.0.1 www.rising.com 127.0.0.1 www.rising.com.cn 127.0.0.1 www.mmsk.com 127.0.0.1 shadu.baidu.com 127.0.0.1 online.rising.com.cn 2 、修改注册表,添加启动项,以达到随机启动的目的: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 值 : 字符串 : "html"="C:\\WINDOWS\\24964.bat" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ 值 : 字符串 : "Ravupdate"="C:\\WINDOWS\\BV2008.bat" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ 值 : 字符串 : "Ravupdate"="C:\\WINDOWS\\BV2008.bat" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\ 值 : 字符串 : "BV2008"="C:\\WINDOWS\\BV2008.bat" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File xecution Options\\CCenter.exe\\ 值 : 字符串 : "Debugger"="svchost.exe" 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 清除方案1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用 安天木马防线 “进程管理”关闭病毒进程 (2) 删除病毒文件 删除 c:\\WINDOWS\\system.ini c:\\WINDOWS\\system32\\drivers\\etc\\hosts c:\\WINDOWS\\win.ini 中增加的内容。 (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run 值 : 字符串 : "html"="C:\\WINDOWS\\24964.bat" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run\\ 值 : 字符串 : "Ravupdate"="C:\\WINDOWS\\BV2008.bat" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\ 值 : 字符串 : "Ravupdate"="C:\\WINDOWS\\BV2008.bat" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\RunServices\\ 值 : 字符串 : "BV2008"="C:\\WINDOWS\\BV2008.bat" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\ CurrentVersion\\ Image File Execution Options\\CCenter.exe\\ 值 : 字符串 : "Debugger"="svchost.exe" |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。