请输入您要查询的百科知识:

 

词条 Trojan-Dropper.Win32.Agent.bdo
释义

Trojan-Dropper.Win32.Agent.bdo是一种计算机病毒。 该病毒运行后,衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。 从指定服务器下载大量病毒体,包含大量游戏盗号程序,以及 ARP欺骗程序。

简介

病毒名称: Trojan-Dropper.Win32.Agent.bdo

中文名称: 下载者变种

病毒类型: 木马类

文件 MD5: 85EC8DB377E6849DBDA9A1321C049AAA

公开范围: 完全公开

危害等级: 4

文件长度: 加壳后 83,456 字节,脱壳后120,832 字节

感染系统: Win9X以上系统

开发工具: Microsoft Visual C++ 6.0

加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

行为分析:

1 、衍生下列副本与文件:

%WinDir%\\sclgntfys.dll

%WinDir%\\winamps.dll

%WinDir%\\SysSun1\\Ghook.dll

%WinDir%\\SysSun1\\svchost.exe

%WinDir%\\cmdbcs.exe

%WinDir%\\gv.dll

%WinDir%\\mppds.exe

%WinDir%\\javhavm.exe

%WinDir%\\msccrt.exe

%WinDir%\\shualai.exe

%WinDir%\\winform.exe

%System32%\\upnpsvc.exe

%System32%\\systemt.exe

%System32%\\systemm.exe

%System32%\\SMSSS.exe

%System32%\\servet.exe

%System32%\\MSTCS.exe

%System32%\\alg32.exe

%System32%\\8.exe

%System32%\\system\\.setupq\\*.*

%System32%\\system\\sysbacks\\*.*

%Documents and settings%\\ 当前用户名 \\local settings\\temp\\*.*

……………

2 、新建注册表键值:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\UMWdfmgr\\Description

Value: String: " 启用 windows 用户模式驱动程序。 "

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\UMWdfmgr\\DisplayName

Value: String: "Windows User Mode Driver"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\UMWdfmgr\\ImagePath

Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes

rundll32.exe C:\\WINDOWS\\winamps. dll _start@16.

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\msupdate

Value: String: "%WINDOWS%\\AntiAdwa.exe other"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\

Winlogon\otify\\sclgntfys\\DllName

Value: String: "%\\WINDOWS%\\sclgntfys.dll

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\0c4

Value: String: "%WINDOWS%\\AntiAdwa.exe other"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\cmdbcs

Value: String: "%WINDOWS%\\cmdbcs.exe "

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\cmdbs

Value: String: "%WINDOWS%\\cmds.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\javhavm

Value: String: "%WINDOWS%\\javhavm.exer"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\

Run\\KernelFaultcheck

Value: String: "%WINDOWS%\\system32\\dumprep.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\mppds

Value: String: "%WINDOWS%\\mppds.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\pxdnd

Value: String: "%Documents and settings%\\ 当前用户名 \\

local settings\\temp\\win4.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\shualai

Value: String: "%WINDOWS%\\shualai.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\testrun

Value: String: "%WINDOWS%\\testexe.exer"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\upxdndq

Value: String: "%Documents and settings%\\ 当前用户名 \\

local settings\\temp\\upxdnd.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\

Policies\\Explorer\\Run\\sun

Value: String: "%WINDOWS%\\syssun1\\svchost.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\

Policies\\Explorer\\Run\\wm

Value: String: "%WINDOWS%\\syswm7\\svchost.exe"

3 、连接下列服务器 , 下载病毒体:

Host:(2*8.6.1*5.1*)b*ol*m.com/up/win1.exe

Host: t.g*u*.com(2*2.7*.15.9*)/0.exe

Host: t.g*u*.com(2*2.7*.15.9*)/0/AVG.exe

Host: t.g*u*.com(2*2.7*.15.9*)//0/SMSSS.exe

Host:www.1*d*m.com(2*2.7*.15.3*)/xia/kehu0703.exe

4 、下载的病毒体novel.exe会发起ARP 欺骗

注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32

清除方案:

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线断开网络,结束病毒进程:

IEXPLORE.EXE

novel.exe

upnpsvc.exe

(2) 删除并恢复病毒添加与修改的注册表键值:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\

Services\\UMWdfmgr\\Description

Value: String: " 启用 windows 用户模式驱动程序。 "

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\

Services\\UMWdfmgr\\DisplayName

Value: String: "Windows User Mode Driver"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\

Services\\UMWdfmgr\\ImagePath

Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes

rundll32.exe C:\\WINDOWS\\winamps. dll _start@16.

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Run\\msupdate

Value: String: "%WINDOWS%\\AntiAdwa.exe other"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\

CurrentVersion\\Winlogon\otify\\sclgntfys\\DllName

Value: String: "%\\WINDOWS%\\sclgntfys.dll

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Run\\0c4

Value: String: "%WINDOWS%\\AntiAdwa.exe other"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Run\\cmdbcs

Value: String: "%WINDOWS%\\cmdbcs.exe "

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Run\\cmdbs

Value: String: "%WINDOWS%\\cmds.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Run\\javhavm

Value: String: "%WINDOWS%\\javhavm.exer"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Run\\KernelFaultcheck

Value: String: "%WINDOWS%\\system32\\dumprep.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Run\\mppds

Value: String: "%WINDOWS%\\mppds.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Run\\pxdnd

Value: String: "%Documents and settings%\\ 当前用户 \\

localsettings\\temp\\win4.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Run\\shualai

Value: String: "%WINDOWS%\\shualai.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Run\\testrun

Value: String: "%WINDOWS%\\testexe.exer"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Run\\upxdndq

Value: String: "%Documents and settings%\\

当前用户名 \\local settings\\temp\\upxdnd.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Policies\\Explorer\\Run\\sun

Value: String: "%WINDOWS%\\syssun1\\svchost.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Policies\\Explorer\\Run\\wm

Value: String: "%WINDOWS%\\syswm7\\svchost.exe"

(3) 删除病毒释放文件:

%WinDir%\\sclgntfys.dll

%WinDir%\\winamps.dll

%WinDir%\\SysSun1\\Ghook.dll

%WinDir%\\SysSun1\\svchost.exe

%WinDir%\\cmdbcs.exe

%WinDir%\\gv.dll

%WinDir%\\mppds.exe

%WinDir%\\javhavm.exe

%WinDir%\\msccrt.exe

%WinDir%\\rising390.exe

%WinDir%\\shualai.exe

%WinDir%\\winform.exe

%System32%\\upnpsvc.exe

%System32%\\systemt.exe

%System32%\\systemm.exe

%System32%\\SMSSS.exe

%System32%\\servet.exe

%System32%\\MSTCS.exe

%System32%\\alg32.exe

%System32%\\8.exe

%WINDOWS%\\syssun1\\*.*

%System32%\\syswm7\\*.*

%System32%\\system\\.setupq\\*.*

%System32%\\system\\sysbacks\\*.*

%Documents and settings%\\ 当前用户名 \\

local settings\\temp\\*.*

……………

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/1/31 10:23:19