“特洛伊病毒Win32.Abetear.A”的意思、由来-中文百科全书

基本信息

病毒名称：特洛伊病毒Win32.Abetear.A

其它名称：Abetear A (CA Anti-Spyware), TROJ_AGENT.VBS (Trend), AdClicker-FK (McAfee), Trojan.Vundo (Symantec), Trojan.Win32.Agent.aoy (Kaspersky)

病毒属性：特洛伊木马危害性：中等危害流行程度：

具体介绍：

病毒特性：

Win32/Abetear.A是一种特洛伊病毒，作为一个服务安装在被感染机器上。它会修改系统设置，从某类DNS查询中获取系统名称发送到远程服务器。它还会从远程服务器请求更新病毒。

感染方式

运行时，Win32/Abetear.A尝试生成并启动一个新的服务，显示"DomainService"名称：

如果不成功，特洛伊生成一个注册表键值，以确保下一次系统启动时生成以上服务，随后运行病毒：

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\DDC = ""

例如：如果特洛伊被安装在%System%\\rgdkhyum.exe，它就会生成以下注册表：

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\DDC = "%System%\\rgdkhyum.exe"

如果Abetear.A成功生成这个服务，它就会删除以上注册表，并作为一个服务运行病毒危害。

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。

危害

修改系统设置

Abetear.A生成以下注册表键值，防止Windows文件保护对话框显示：

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\SFCDisable = 4

HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\Windows File Protection\\SFCDisable = 4

在Windows XP Service Pack 2 或更高版本上运行时，修改以下注册表，允许病毒通过Windows 防火墙：

HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters

\\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List\\ = ":*:Enabled:XXX"

例如：当它默认安装时，注册表可能修改为：

HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters

\\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List\\C:\\Windows

\\System32\\rgdkhyum.exe = "C:\\Windows\\System32\\rgdkhyum.exe:*:Enabled:XXX"

发送DNS Cache详细信息到远程服务器

Abetear.A 连接 23.244.141.185上的一台服务器，并发送假的任意生成的标识符和病毒版本号，服务器回应一个用户ID。这个用户ID与其它信息一起保存在以下注册表中：

HKLM\\Software\\Microsoft\\DomainService

如果Abetear.A 不作为一个服务运行，就会使用以下注册表替换：

HKCU\\Software\\Microsoft\\DomainService

它会定期的poll(或查询)这个服务器，看它是否仍然在运行。

下载更新

远程服务器可能给特洛伊的poll回应一个命令，让Abetear.A更新自己，还会回应给它一个下载更新的URL。Abetear将下载的文件保存到%Temp%\\aupddc.exe，并删除以下注册表：

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\DDC

随后特洛伊启动这个新下载的文件，并停止运行。

注：'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:\\Documents and Settings\\\\Local Settings\\Temp"，或"C:\\WINDOWS\\TEMP"。

清除：

KILL安全胄甲Vet 30.8.3743 版本可检测/清除此病毒。

词条	特洛伊病毒Win32.Abetear.A
释义	基本信息感染方式危害基本信息病毒名称：特洛伊病毒Win32.Abetear.A 其它名称：Abetear A (CA Anti-Spyware), TROJ_AGENT.VBS (Trend), AdClicker-FK (McAfee), Trojan.Vundo (Symantec), Trojan.Win32.Agent.aoy (Kaspersky) 病毒属性：特洛伊木马危害性：中等危害流行程度：具体介绍：病毒特性： Win32/Abetear.A是一种特洛伊病毒，作为一个服务安装在被感染机器上。它会修改系统设置，从某类DNS查询中获取系统名称发送到远程服务器。它还会从远程服务器请求更新病毒。感染方式运行时，Win32/Abetear.A尝试生成并启动一个新的服务，显示"DomainService"名称：如果不成功，特洛伊生成一个注册表键值，以确保下一次系统启动时生成以上服务，随后运行病毒： HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\DDC = "" 例如：如果特洛伊被安装在%System%\\rgdkhyum.exe，它就会生成以下注册表： HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\DDC = "%System%\\rgdkhyum.exe" 如果Abetear.A成功生成这个服务，它就会删除以上注册表，并作为一个服务运行病毒危害。注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。危害修改系统设置 Abetear.A生成以下注册表键值，防止Windows文件保护对话框显示： HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\SFCDisable = 4 HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\Windows File Protection\\SFCDisable = 4 在Windows XP Service Pack 2 或更高版本上运行时，修改以下注册表，允许病毒通过Windows 防火墙： HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters \\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List\\ = "::Enabled:XXX" 例如：当它默认安装时，注册表可能修改为： HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters \\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List\\C:\\Windows \\System32\\rgdkhyum.exe = "C:\\Windows\\System32\\rgdkhyum.exe::Enabled:XXX" 发送DNS Cache详细信息到远程服务器 Abetear.A 连接 23.244.141.185上的一台服务器，并发送假的任意生成的标识符和病毒版本号，服务器回应一个用户ID。这个用户ID与其它信息一起保存在以下注册表中： HKLM\\Software\\Microsoft\\DomainService 如果Abetear.A 不作为一个服务运行，就会使用以下注册表替换： HKCU\\Software\\Microsoft\\DomainService 它会定期的poll(或查询)这个服务器，看它是否仍然在运行。下载更新远程服务器可能给特洛伊的poll回应一个命令，让Abetear.A更新自己，还会回应给它一个下载更新的URL。Abetear将下载的文件保存到%Temp%\\aupddc.exe，并删除以下注册表： HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\DDC 随后特洛伊启动这个新下载的文件，并停止运行。注：'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:\\Documents and Settings\\\\Local Settings\\Temp"，或"C:\\WINDOWS\\TEMP"。清除： KILL安全胄甲Vet 30.8.3743 版本可检测/清除此病毒。
随便看	PPSh43冲锋枪 PP Systems PPS棒 PPS丙烷磺酸吡啶嗡盐 PPS除尘布袋 PPS复合管 PPS广告 PPS网络电视播放器 pps纤维 PPS影音版 PPTC热敏电阻 pptd40nt.exe PP-TIG-A40焊丝 pptpd PPTS pptview.exe pptv加速器 PPTV视频电台 PPTV手机视频网 PPTV游戏大厅 PPTV在线影视网 PPT，要你好看 ppt宝藏 PPT创意表达 PPT创意表达：完美演示的11项修炼