词条 | Backdoor.Win32.Agent.em |
释义 | 病毒档案病毒名称: Backdoor.Win32.Agent.em 病毒类型: 后门 文件 MD5: 2BBF0F7B518292D52830CE1F5FB7D0DE 公开范围: 完全公开 危害等级: 中 文件长度: 262,656 字节 感染系统: windows 98 及以上版本 开发工具: Borland C++ 加壳类型: UPX 命名对照: Symentec[Backdoor.Trojan] Mcafee[Downloader-RV.dr] 病毒描述该病毒属后门类,病毒运行后复制自身到%windir%\\目录下,文件名随机,并释放一个文件名随机dll文件,而后修改注册表文件,添加到启动项,确保二者随系统启动。病毒还会尝试收集感染系统的相关信息。该病毒对用户有一定的危害。 行为分析1、复制、释放原病毒副本到: <random file name>.exe 原病毒副本 <random file name>.dll 2、修改注册表文件,达到随系统启动的目的: HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值:字串:%Windir%\\<random file name>.exe HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值:字串:%Windir%\\<random file name>.dll 3、尝试收集感染系统的信息。 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 清除方案1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马“进程管理”关闭病毒进程 (2) 删除病毒文件:在%windir%下按照“创建日期”查看近期文件,并使用安天木马扫 描,确定是否为病毒文件。 (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值:字串:%Windir%\\<random file name>.exe HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值:字串:%Windir%\\<random file name>.dll |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。