词条 | Trojan-Downloader.Win32.Agent.kzh |
释义 | 病毒名称 Trojan-Downloader.Win32.Agent.kzh 捕获时间 2007-10-19 病毒症状 该病毒是一个使用Delphi编写的木马程序,长度为27,852字节,图标为常规可执行文件图标,病毒扩展名为exe。 病毒分析 该木马程序激活后,拷贝自身到C:\\PROGRAM FILES\\COMMON FILES\\SYSTEM目录下并重命名为ipslgcs.exe,拷贝自身到C:\\PROGRAM FILES\\COMMON FILES\\MICROSOFT SHARED目录下并重命名为jnodbqv.exe,将两个文件的属性修改为隐藏和系统;添加注册表启动项,使jnodbqv.exe随系统自动启动;通过修改注册表项禁用服务SharedAccess、helpsvc、wscsvc和wuauserv;修改系统时间,使部分杀软无法正常运行;试图强行关闭“我的电脑”窗口;试图强行结束explorer.exe进程;使用映像劫持技术劫持多种安全软件,当用户试图运行这些软件时便会激活病毒;强行删除多种杀毒软件和防火墙的自启动项,使其无法随系统启动;在非系统逻辑驱动器和可移动存储介质中释放隐藏病毒文件oqotpwd.exe以及autorun.inf,试图利用Windows自动播放功能进行传播;连接恶意网站http://www.***.com/,在后台下载有害病毒程序。 病毒添加的注册表项: 项:HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ 键值:oqotpwd 指向文件:jnodbqv.exe 劫持的安全软件: avp.exe runiep.exe PFW.exe FYFireWall.exe rfwmain.exe rfwsrv.exe KAVPF.exe KPFW32.exe nod32kui.exe nod32.exe Navapsvc.exe Navapw32.exe avconsol.exe webscanx.exe NPFMntor.exe vsstat.exe KPfwSvc.exe RavTask.exe Rav.exe RavMon.exe mmsk.exe WoptiClean.exe QQKav.exe QQDoctor.exe EGHOST.exe 360Safe.exe iparmo.exe adam.exe IceSword.exe 360rpt.exe 360tray.exe AgentSvr.exe AppSvc32.exe autoruns.exe avgrssvc.exe AvMonitor.exe CCenter.exe ccSvcHst.exe FileDsty.exe FTCleanerShell.exe HijackThis.exe Iparmor.exe isPwdSvc.exe kabaload.exe KASMain.exe KASTask.exe …… 感染对象 Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003 传播途径 网页挂马、可移动存储 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。