请输入您要查询的百科知识:

 

词条 Worm.Win32.Agent.t
释义

Worm.Win32.Agent.t分析

出处:安天CERT

病毒名称: Worm.Win32.Agent.t

病毒类型: 蠕虫类

文件 MD5: C4BFC29229607CBEA877CBC40EB5D098

公开范围: 完全公开

危害等级: 4

文件长度: 脱壳前52,736 字节,脱壳后145,920 字节

感染系统: Win98以上版本

开发工具: Borland C++ 1999

加壳类型: PECompact 2.x -> Jeremy Collake

命名对照: 趋势[TROJ_DELF.JIP]SOPHOS[Mal/Behav-097]

NOD32[a variant of Win32/Agent.NAU worm]IKARUS[Worm.Win32.Agent.t]

AVG[Agent.FTJ]AVAST[Win32:Delf-DTM [Wrm]]

病毒描述:

该病毒运行后,衍生病毒副本到系统多个目录下,添加注册表多处.自启动项以跟随系统引导病毒体。连接网络获取病毒更新地址以下载病毒体到本机运行。下载的病毒程序包含后门程序、蠕虫程序、木马程序等。修改注册表相关键值,以隐藏病毒体,搜索除C以外的d-z个逻辑驱动器,在其根目录下衍生自动运行文件及病毒副本,当用户双击盘符时,即激活病毒体。病毒衍生.的程序会下载其它病毒,从而造成连锁反应,严重情况下,可造成用户down机。

字串5

行为分析:

本地行为:

字串3

1、病毒件运行后.会衍生以下文件: 字串2

%WinDir%\\112.exe

%WinDir%\\121.exe

%WinDir%\\123.exe

%WinDir%\\444.exe

%WinDir%\\817.exe

%WinDir%\\concmd.dll

%WinDir%\etcom.dll

%System32%\\449.exe

%WinDir%\\Temp\\~myC.tmp

%System32%\\dirvers\\2dfgbu9.sys

%System32%\\dirvers\\acpidisk.sys

%System32%\\dirvers\\mjaife1jj.sys

%Documents and Settings%\\当前用户名\\LOCALS~1\\Temp\\install.exe 字串6

2、新增注册表: 字串2

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\windows_0\\]

注册表值: " Description "

字符串:" Network Connections Management "

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\windows_0\\]

注册表值: " DisplayName "

字符串:"Windows Accounts Driver"

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\windows_0\\]

注册表值: "ImagePath "

字符串:" C:\\WINDOWS\\System32\\449.exe "

字串6

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\mjaife1jj\\]

注册.表值: " DisplayName "

字符串:"mjaife1jj"

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\windows_0\\]

注册表值: "ImagePath "

字符串:" C:\\WINDOWS\\System32\\drivers\\mjaife1jj.sys"

字串8

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\windows_0\\]

注册表值: " DisplayName "

字符串:"acpidisk"

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\windows_0\\]

注册表值: "ImagePath "

字符串:" C:\\WINDOWS\\System32\\drivers\\acpidisk.sys "

字串6

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\windows_0\\]

注册表值: "2dfgbu9System Bus Extender"

字符串:"acpidisk"

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\windows_0\\]

注册表.值: "ImagePath "

字符串: " C:\\WINDOWS\\System32\\drivers\\2dfgbu9.sys" 字串9

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\]

注册表值: " MSetup "

字符串: " C:\\DOCUME~1\\当前用户名\\LOCALS~1\\Temp\\install.exe " 字串1

3、修改注册表

字串6

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Userinit]

新建键值:字串:" C:\\WINDOWS\\system32\\userinit.exe,c:\\WINDOWS\\病毒副本名.exe "

原键值:字串:""C:\\WINDOWS\\system32\\userinit.exe" 字串2

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue]

新建键值:字串:" 0"

原.键值:字串:""1"

类型:DWORD 字串3

[HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Cache]

新建键.值:字串:"C:\\Documents and Settings

\\当前用户名\\Local Settings\\Temporary Internet Files"

原键值:字串:"C:\\WINDOWS\\system32\\config\\systemprofile

\\Local Settings\\Temporary Internet Files " 字串7

[HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Cache]

新建键值:字串:"C:\\Documents and Settings\\当前用户名\\Cookies"

原键值:字串:"C:\\WINDOWS\\system32\\config\\systemprofile\\Cookies" 字串2

[HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\History]

新建键值:字串:"C:\\Documents and Settings\\当前用户名\\Local Settings\\History"

原.键值:字串:"C:\\WINDOWS\\system32\\config\\systemprofile\\Local Settings\\History " 字串3

4、删除注.册表键值 字串4

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\]

注册表值:" MSConfig "

类型:Stirng

字符串:" C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto "

字串4

网络行为:

字串1

1、连接目标主机:

协议:TCP

域名或IP地址:

218.61.15.**端口: 7000

218.61.19.***端口: 7000

61.176.194.***端口: 7000

61.176.204.***端口: 7000

61.176.22.2.***端口: 7000

2、连接.地址cha.onniro.cn(221.8.74.***)/text/****.txt病毒下载地址继而下载病毒体:

协议:TCP

端口:80

hxxp://www.qqxi***ng.cn/svchost.exe

hxxp://www.51**t.com/haohao.exe

hxxp://huimie.xi**.net/qqqyyy.exe

hxxp://www.jzm***.com(61.176.195.***)/m/xy.exe

hxxp://www.48**.com(221.8.74.***)/rar/my_70136.rar

hxxp://qqqyyy2.33**.org(218.61.18.**)/Server.exe

字串5

hxxp://www.ad99**.com(218.61.18.**)/qqqyyy.exe

hxxp://www.48**.com(221.8.74.***)/rar/socvher.rar

hxxp://www.4***.com/rar/my_70136.rar

hxxp://www.tud***.net(222.169.224.**)/ad/bd2.rar

hxxp://www.tud***.net(222.169.224.**)/ad/bd4.rar

hxxp://www.tud***.net(222.169.224.**)/ad/bd6.rar

hxxp://www.tud***.net(222.169.224.**)/ad/bd8.rar 字串9

注: %Windir% WINDODWS所在目录

%DriveLetter% 逻辑驱动器根目录

%ProgramFiles% 系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings

\\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是C:\\Windows\\System

windowsXP中默认的安装路径是C:\\Windows\\System32

清除方案:

1 、使用安天木马防线可.彻底清除此病毒 ( 推荐 )

字串2

2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1)使用安天木马防线“进程管理”关闭病毒进程:

112.exe

121.exe

123.exe

444.exe

817.exe

449.exe

(2)恢复病毒修改的注册.表项目,删除病毒添加的注册表项:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue]

新建键值:字串:" 0"

原键值:字串:""1"

类型:DWORD

(3)删除病毒文件:

%WinDir%\\112.exe

%WinDir%\\121.exe

%WinDir%\\123.exe

%WinDir%\\444.exe

%WinDir%\\817.exe

%WinDir%\\concmd.dll

%WinDir%\etcom.dll

字串5

%System32%\\449.exe

%WinDir%\\Temp\\~myC.tmp

%System32%\\dirvers\\2dfgbu9.sys

%System32%\\dirvers\\acpidisk.sys

%System32%\\dirvers\\mjaife1jj.sys

%Documents and Settings%\\当前用户名\\LOCALS~1

\\Temp\\install.exe

(4)恢复病毒修改的注册.表项目,删除病毒添加的注册表项。
随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/2/27 1:29:34