“Trojan-Dropper.Win32.Agent.bav”的意思、由来-中文百科全书

概述

病毒名称：Trojan-Dropper.Win32.Agent.bav

中文名称：“半条命”变种

病毒类型：木马类

文件 MD5：4D13557FE4836AAEF05309AED0401B50

公开范围：完全公开

危害等级：中等

文件长度：197,124 字节

感染系统：Win98以上系统

开发工具：Borland Delphi 6.0 - 7.0 [Overlay]

命名对照：驱逐舰[Trojan.MulDrop.5046]

瑞星[Worm.Cnt.z]

行为分析

1、衍生下列副本与文件

%Windir%\\ cc123.dll

%Windir%\\ abc.exe

%System32%\\odyedknsvgaapyz.dll

%System32%\\downsss.ini

infected:Trojan-Downloader.Win32.Delf.bem

infected:Trojan-Clicker.Win32.BHO.f

2、新建注册表键值：

HKEY_CURRENT_USER\\Software\\Valve\\Half-Life\\Settings\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{5DB3D73A-7D9F-49C7-9678-09F2E7CE7A3F}\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{5DB3D73A-7D9F-49C7-9678-09F2E7CE7A3F}\\@

Value: String: ""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{5DB3D73A-7D9F-49C7-9678

-09F2E7CE7A3F}\\InprocServer32\\@

Value: String: "C:\\WINDOWS\\system32\\odyedknsvgaapyz.dll"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer

\\Browser Helper Objects\\{5DB3D73A-7D9F-49C7-9678-09F2E7CE7A3F}\\

3、访问指定服务器地址下载病毒体：

(58.220.232.90)

(60.28.9.66)

(211.154.163.218)

(202.205.10.88)

(218.61.36.231)

(218.61.36.240)

(58.220.232.90)

(202.205.10.94)

(222.28.152.145)

(61.135.179.197)

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

abc.exe

(2) 删除病毒释放文件

%Windir%\\ cc123.dll

%Windir%\\ abc.exe

%System32%\\odyedknsvgaapyz.dll

%System32%\\downsss.ini

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USER\\Software\\Valve\\Half-Life\\Settings\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{5DB3D73A-

7D9F-49C7-9678-09F2E7CE7A3F}\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{5DB3D73A-

7D9F-49C7-9678-09F2E7CE7A3F}\\@

Value: String: ""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{5DB3D73A-7D9F

-49C7-9678-09F2E7CE7A3F}\\InprocServer32\\@

Value: String: "C:\\WINDOWS\\system32\\odyedknsvgaapyz.dll"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion

\\Explorer\\Browser Helper Objects\\{5DB3D73A-7D9F-49C7-9678-09F2E7CE7A3F}\\

词条	Trojan-Dropper.Win32.Agent.bav
释义	该病毒运行后，病毒衍生文件到系统目录下，更改Explore.exe的BHO对象，间接挂载病毒体。从而在指定服务器地址下载病毒体到本机运行，并利用间软件掩藏自身。该病毒会造成用户电脑极度缓慢。概述行为分析清除方案概述病毒名称：Trojan-Dropper.Win32.Agent.bav 中文名称：“半条命”变种病毒类型：木马类文件 MD5：4D13557FE4836AAEF05309AED0401B50 公开范围：完全公开危害等级：中等文件长度：197,124 字节感染系统：Win98以上系统开发工具：Borland Delphi 6.0 - 7.0 [Overlay] 命名对照：驱逐舰[Trojan.MulDrop.5046] 瑞星[Worm.Cnt.z] 行为分析 1、衍生下列副本与文件 %Windir%\\ cc123.dll %Windir%\\ abc.exe %System32%\\odyedknsvgaapyz.dll %System32%\\downsss.ini infected:Trojan-Downloader.Win32.Delf.bem infected:Trojan-Clicker.Win32.BHO.f 2、新建注册表键值： HKEY_CURRENT_USER\\Software\\Valve\\Half-Life\\Settings\\ HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{5DB3D73A-7D9F-49C7-9678-09F2E7CE7A3F}\\ HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{5DB3D73A-7D9F-49C7-9678-09F2E7CE7A3F}\\@ Value: String: "" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{5DB3D73A-7D9F-49C7-9678 -09F2E7CE7A3F}\\InprocServer32\\@ Value: String: "C:\\WINDOWS\\system32\\odyedknsvgaapyz.dll" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer \\Browser Helper Objects\\{5DB3D73A-7D9F-49C7-9678-09F2E7CE7A3F}\\ 3、访问指定服务器地址下载病毒体： (58.220.232.90) (58.220.232.90) (58.220.232.90) (60.28.9.66) (211.154.163.218) (202.205.10.88) (218.61.36.231) (218.61.36.240) (58.220.232.90) (202.205.10.94) (222.28.152.145) (61.135.179.197) 注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。 -------------------------------------------------------------------------------- 清除方案 1、使用安天木马防线可彻底清除此病毒(推荐) 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 abc.exe (2) 删除病毒释放文件 %Windir%\\ cc123.dll %Windir%\\ abc.exe %System32%\\odyedknsvgaapyz.dll %System32%\\downsss.ini (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项 HKEY_CURRENT_USER\\Software\\Valve\\Half-Life\\Settings\\ HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{5DB3D73A- 7D9F-49C7-9678-09F2E7CE7A3F}\\ HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{5DB3D73A- 7D9F-49C7-9678-09F2E7CE7A3F}\\@ Value: String: "" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{5DB3D73A-7D9F -49C7-9678-09F2E7CE7A3F}\\InprocServer32\\@ Value: String: "C:\\WINDOWS\\system32\\odyedknsvgaapyz.dll" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\Explorer\\Browser Helper Objects\\{5DB3D73A-7D9F-49C7-9678-09F2E7CE7A3F}\\
随便看	濮阳市公路管理局濮阳市国土资源局濮阳市恒润石油化工有限公司濮阳市恒泰石油化工有限公司濮阳市恒泰石油树脂有限公司濮阳市宏大圣导新材料有限公司濮阳市红磨坊食品有限公司濮阳市红十字医院濮阳市华龙区第五中学濮阳市华龙区高中濮阳市环保局濮阳市环境保护局濮阳市技工学校濮阳市交通职业中等专业学校濮阳市教育局濮阳市科学技术局濮阳市昆吾小学濮阳市林业局濮阳市旅游局濮阳市民政局濮阳市民族宗教局濮阳市名人专修学院濮阳市农村贷款互助合作社濮阳市农业局濮阳市七点半食品有限公司