知识库编号： RSV0707698

内容分类： 木马病毒

适用产品分类：瑞星杀毒软件.单机版.标准版.2007

瑞星杀毒软件.单机版.升级版.2007

瑞星杀毒软件.单机版.下载版.2007

关键词： Backdoor.Win32.Agent.luc;清除;查杀

本文介绍Backdoor.Win32.Agent.luc病毒资料及清除方法。

【病毒分析】：

该病毒具有以下行为：

1、病毒运行后将自己复制到下列路径：

%WINDOWS%\\SYSTEM\\CMPKU.EXE

%WINDOWS%\\MAPSERVER.EXE

%WINDOWS%\\SYSTEM\\MAINSV.EXE

2、病毒在注册表中添加下列启动项实现自启动：

??? HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run

?"Cmpnt" = %WINDOWS%\\SYSTEM\\CMPKU.EXE

??? HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Run

?"Ntcheck" = %WINDOWS%\\MAPSERVER.EXE

??? HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\RunServices

?"Shell" = %WINDOWS%\\SYSTEM\\MAINSV.EXE

??? HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\RunOnce

?"Cmpnt" = %WINDOWS%\\SYSTEM\\MAINSV.EXE

3、病毒还修改注册表下列键值的实现"不显示隐藏文件"、"隐藏已知扩展名"

??? HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced?

??????? "HideFileExt" = 0x1

??? HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced

??????? "Hidden" = 0x0

4、病毒在后台隐藏运行,接收网络中发送的请求并且执行下列请求对应的动作

1.获取中毒计算机中的目录信息,

2.获取中毒计算机中的文件信息,

3.删除中毒计算机中的文件

4.执行中毒计算机中的文件

5.关闭中毒计算机

6.注销中毒计算机

7.修改中毒计算机中的文件属性

8.获取中毒计算机的IP地址 等等.

【清除方法】：

使用瑞星橙色八月专杀工具查杀，在内存扫描完成后，打开瑞星杀毒软件升级到最新版本全盘查杀。