| 词条 | Worm.Win32.Agent.az |
| 释义 | 该病毒运行后,衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。病毒体访问某动态更新的病毒地址页面,从而获得病毒的更新下载地址。下载的病毒体多为网络游戏盗号程序。 病毒标签病毒名称: Worm.Win32.Agent.az 病毒类型: 蠕虫类 文件 MD5: 662122C6F05E39AD820F7EA125EF25D9 公开范围: 完全公开 危害等级: 4 文件长度: 加壳后 15,614 字节,脱壳后66,560 字节 感染系统: Win9X以上系统 开发工具: Microsoft Visual C++ 6.0 加壳类型: NsPack变形壳 命名对照: BitDefender [GenPack:Generic.Malware.Bdldg.FAE17B32] 行为分析1 、衍生下列副本与文件: %C:%\\autorun.inf %C:%\\rising.exe %WinDir%\\cmdbs.exe %WinDir%\\macfee.exe %WinDir%\\mppds.exe %WinDir%\\msccrt.exe %WinDir%\\testexe.exe %WinDir%\\winform.exe %System32%\\6D52D174.EXE %System32%\\B0B2C20E.DLL %System32%\\B0B2C20E.EXE %System32%\\cmdbs.dll %System32%\\macfee.dll %System32%\\mppds.dll %System32%\\msccrt.dll %System32%\\testdll.dll %System32%\\winform.dll 2 、新建注册表键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\cmdbs Value: String: "%WINDIR%\\cmdbs.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\macfee Value: String: "%WINDIR%\\macfee.exe /i" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\mppds\\ Value: String: "%WINDIR%\\mppds.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\msccrt Value: String: "%WINDIR%\\msccrt.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\testrun Value: String: "%WINDIR%\\testexe.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\upxdnd Value: String: "%DOCUME~1%\\ 当前用户名 \\LOCALS~1\\Temp\\upxdnd.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\winForm Value: String: "%WINDIR%\\winform.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\sgktiq98kfb8xz Value: String: "%\\DOCUME~1%\\antiy\\LOCALS~1\\Temp\\c0nime.exe" 3 、访问下列地址获取要更新的病毒体地址: (2*2.7*.2*0.*5) n*.5*yl*.cn /soft//update.txt (6*.1*2.9*.9*)p*pw*n.9*8*.com /update.txt 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 清除方案1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线断开网络,结束病毒进程: rising.exe macfee.exe mppds.exe cmdbs.exe msccrt.exe testexe.exe winform.exe 6D52D174.EXE B0B2C20E.DLL B0B2C20E.EXE (2) 删除并恢复病毒添加与修改的注册表键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\cmdbs Value: String: "%WINDIR%\\cmdbs.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\macfee Value: String: "%WINDIR%\\macfee.exe /i" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\mppDs\\ Value: String: "%WINDIR%\\mppds.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\msccrt Value: String: "%WINDIR%\\msccrt.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\testrun Value: String: "%WINDIR%\\testexe.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\upxdnd Value: String: "%DOCUME~1%\\ 当前用户 \\ LOCALS~1\\Temp\\upxdnd.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\winform Value: String: "%WINDIR%\\winform.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run\\sgktiq98kfb8xz Value:String:"%\\DOCUME~1%\\antiy\\LOCALS~1\\Temp\\c0nime.exe" (3) 删除病毒释放文件: %C:%\\autorun.inf %C:%\\rising.exe %WinDir%\\cmdbs.exe %WinDir%\\macfee.exe %WinDir%\\mppds.exe %WinDir%\\msccrt.exe %WinDir%\\testexe.exe %WinDir%\\winform.exe %System32%\\6D52D174.EXE %System32%\\B0B2C20E.DLL %System32%\\B0B2C20E.EXE %System32%\\cmdbs.dll %System32%\\macfee.dll %System32%\\mppds.dll %System32%\\msccrt.dll %System32%\\testdll.dll %System32%\\winform.dll |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。