| 词条 | Trojan-Downloader.Win32.Agent.tbl |
| 释义 | 病毒名称: Trojan-Downloader.Win32.Agent.tbl病毒类型: 下载者文件 MD5: E465558250F58B1985174B1137CA8176公开范围: 完全公开危害等级: 4文件长度: 15,800 字节感染系统: Windows98以上版本开发工具: Microsoft Visual C++ 6.0加壳类型: nSPack 2.1 - 2.5 病毒描述:该病毒属木马类,病毒运行后,复制自身到%System32%目录下,并在该目录下衍生 病毒文件,复制自身到各个驱动器根目录下,并衍生autorun.inf文件;修改注册表,删 除错误报告的系统服务;锁定文件的显示方式为隐藏;通过向金山的防火墙窗口发送消息, 使金山的防火墙失效,试图关闭卡巴斯基杀毒软件,连接网络下载病毒列表,并依照列表 下载病毒文件。 行为分析:本地行为: 1、文件运行后会释放以下文件: %HomeDrive%\\auto.exe %HomeDrive%\\autorun.inf %DriveLetter%\\auto.exe %DriveLetter%\\autorun.inf %System32%\\876BB5D0.EXE %System32%\\B77E6515.DLL 2、新增注册表: [HKEY_CURRENT_USER\\SYSTEM\\CurrentControlSet \\Services\\CDB756DE] 注册表值: "Description" 类型: REG_SZ 值: "B77E6515" 描述:服务描述 [HKEY_CURRENT_USER\\SYSTEM\\CurrentControlSet \\Services\\CDB756DE] 注册表值: "isplayName" 类型: REG_SZ 值: "CDB756DE" 描述:服务名称 [HKEY_CURRENT_USER\\SYSTEM\\CurrentControlSet \\Services\\CDB756DE] 注册表值: "magePath" 类型: REG_SZ 值: "C:\\WINDOWS\\system32\\876BB5D0.EXE -k" 描述:服务映像路径 3、修改注册表: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Explorer \\Advanced\\Folder\\Hidden\\SHOWALL] 新建键值:DWORD:"CheckedValue"="0" 原键值:DWORD:"CheckedValue"="1" 描述: 锁定文件的显示方式为隐藏 4、删除错误报告服务: 服务名称:Error Reporting Service 服务描述:服务和应用程序在非标准环境下运行时允许错误报告。 映像路径:%SystemRoot%\\System32\\svchost.exe -k netsvcs 启动方式:自动 网络行为:1、连接网络下载病毒列表,并依照病毒列表下载病毒文件: http://alexa.ve****.cn//alexa.txt 下载失败 http://33.xinga****.cn/soft//update.txt 下载文件列表 http://33.xinga****.cn/soft/soft/f2b4657b5568d072.exe 病毒新版本文件 2、列表文件内容如下: [update] ver=2008040801 url=http://33.xinga****.cn/soft/soft/f2b4657b5568d072.exe updatetimer=60 [startpage] startpage=0 url=ssssssssssssssssssss [desktop] desktop=0 count=1 title1=免费网络电话 url1=http://skype.t**.com/download/archive /01400974/SkypeClient.exe [file] [count] count=0 mecount=0 url=http://nx.51****b.cn/soft/count/count.asp 3、病毒更新版本文件运行后行为: 1)文件运行后会释放以下文件: %HomeDrive%\\auto.exe %HomeDrive%\\autorun.inf %DriveLetter%\\auto.exe %DriveLetter%\\autorun.inf %System32%\\D02D2E41.EXE %System32%\\E791145A.DLL 2)新增注册表: [HKEY_CURRENT_USER\\SYSTEM\\CurrentControlSet \\Services\\CDB756DE] 注册表值: "Description" 类型: REG_SZ 值: "E791145A" 描述:服务描述 [HKEY_CURRENT_USER\\SYSTEM\\CurrentControlSet \\Services\\CDB756DE] 注册表值: "isplayName" 类型: REG_SZ 值: "42AAD55B" 描述:服务名称 [HKEY_CURRENT_USER\\SYSTEM\\CurrentControlSet \\Services\\CDB756DE] 注册表值: "magePath" 类型: REG_SZ 值: "C:\\WINDOWS\\system32\\D02D2E41.EXE -k" 描述:服务映像路径 3)修改注册表: [KEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\Explorer\\Advanced\\Folder \\Hidden\\SHOWALL] 新建键值:DWORD:"CheckedValue"="0" 原键值:DWORD:"CheckedValue"="1" 描述: 锁定文件的显示方式为隐藏 4)删除错误报告服务 服务名称:Error Reporting Service 服务描述:服务和应用程序在非标准环境下运行时允许错误报告。 映像路径:%SystemRoot%\\System32\\svchost.exe -k netsvcs 启动方式:自动 注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的 位置。 %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings \\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是C:\\Windows\\System windowsXP中默认的安装路径是C:\\Windows\\System32 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。