“Net-Worm.Win32.Agent.i”的意思、由来-中文百科全书

病毒档案

病毒名称： Net-Worm.Win32.Agent.i

中文名称：下载者变种

病毒类型：蠕虫类

文件 MD5： 027439557029E881E05853539E38AD5D

公开范围：完全公开

危害等级： 4

文件长度：脱壳前 18,944 字节,脱壳后84,480 字节

感染系统： Win9X以上系统

开发工具： Borland Delphi 5.0

加壳工具： UPX变形壳

行为分析

1 、衍生下列副本与文件：

%System32%\\DirectX9.dll

%System32%\\MOSOU.dll

%System32%\\mosou.exe

%System32%\\msdebug.dll

%System32%\wiztlbb.dll

%System32%\wiztlbu.exe

%System32%\\RemoteDbg.dll

%Program Files%\\Internet Explorer\\PLUGINS\\870813.exe

%Program Files%\\Internet Explorer\\PLUGINS\\System64.Jmp

%Program Files%\\Internet Explorer\\PLUGINS\\System64.Sys

2 、新建下列注册表键值：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RemoteDbg\\Description

Value: String: " 允许 Administrators 组的成员进行远程调试。 "

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RemoteDbg\\DisplayName

Value: String: "Remote Debug Service"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RemoteDbg\\ImagePath

Value: Type: REG_EXPAND_SZ Length: 53 (0x35) bytes

%WINDIR%System32\\rundll32.exe RemoteDbg.dll,input.

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\MSDebugsvc\\Description

Value: String: " 为计算机系统提供 32 位调试服务。如果此服务被禁用，

所有明确依赖它的服务都将不能启动。 "

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\MSDebugsvc\\DisplayName

Value: String: "Win32 Debug Service"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\MSDebugsvc\\ImagePath

Value: Type: REG_EXPAND_SZ Length: 51 (0x33) bytes

%WINDIR%System32\\rundll32.exe msdebug.dll,input.

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\@

Value: String: "%Program Files%\\Common Files\\Services\\svchost.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\Run\\MicrosoftAutorun5

Value: String: "%WINDIR%System32\\mosou.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\Run\\Microsoft Autorun7

Value: String: "%WINDIR%System32\wiztlbu.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{754FB7D8-B8FE-4810-B363-A788CD060F1F}\\InProcServer32\\@

Value: String: "%Program Files%\\Internet Explorer\\PLUGINS\\System64.Sys"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{754FB7D8-B8FE-4810-B363-A788CD060F1F}\\@

Value: String: ""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ActiveSetup\\

Installed Components\\{2bf41073-b2b1-21c1-b5c1-0701f4155588}\\StubPath

Value: Type: REG_EXPAND_SZ Length: 51 (0x33) bytes

%Program Files%\\Common Files\\Services\\svchost.exe.

3 、病毒体下载地址：

www.z*36*3.com(5*.3*.5*.1*2)/yx/zt.exe

www.z*36*3.com(5*.3*.5*.1*2)/yx/cq.exe

www.z*36*3.com(5*.3*.5*.1*2)/yx/mh.exe

www.z*36*3.com(5*.3*.5*.1*2)/yx/wow.exe

4 、病毒体试图执行下列恶意行为：

net Stop Norton Antivirus Auto Protect Service

net Stop mcshield

net stop "Windows Firewall/Internet Connection Sharing (ICS)"

net stop System Restore Service

Windows Security Center

结束窗体名为下列的进程：

噬菌体

木马克星

wopticlean.exe

eghost.exe

kavpfw.exe

roguecleaner.exe

regedit.exe

360safe.exe

5 、衍生文件 nwiztlbu.exe 包含调用“ ntsd –c q –p % 要结束的进程 pid% ”的恶意代码：

瑞星卡卡上网助手

AVP

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。

Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装

路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

清除方案

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1)使用安天木马防线结束病毒进程：

%System32%\\mosou.exe

%System32%\wiztlbu.exe

(2)删除病毒添加的注册表项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\

{754FB7D8-B8FE-4810-B363-A788CD060F1F}\\InProcServer32\\@

Value: String: "%Program Files%\\Internet Explorer\\

PLUGINS\\System64.Sys"

(3)重新启动到安全模式下。

(4)删除病毒释放文件：

%System32%\\DirectX9.dll

%System32%\\MOSOU.dll

%System32%\\mosou.exe

%System32%\\msdebug.dll

%System32%\wiztlbb.dll

%System32%\wiztlbu.exe

%System32%\\RemoteDbg.dll

%Program Files%\\Internet Explorer\\PLUGINS\\870813.exe

%Program Files%\\Internet Explorer\\PLUGINS\\System64.Jmp

%Program Files%\\Internet Explorer\\PLUGINS\\System64.Sys

词条	Net-Worm.Win32.Agent.i
释义	蠕虫类病毒，该病毒运行后，衍生病毒文件到系统多个目录下。添加注册表系统服务项与自动运行项以跟随系统引病毒体。连接网络下载病毒体到本机运行，下载的病毒体多为网络游戏盗号程序。并试图生成 Autorun.inf文件从而调用病毒体。病毒档案行为分析清除方案病毒档案病毒名称： Net-Worm.Win32.Agent.i 中文名称：下载者变种病毒类型：蠕虫类文件 MD5： 027439557029E881E05853539E38AD5D 公开范围：完全公开危害等级： 4 文件长度：脱壳前 18,944 字节,脱壳后84,480 字节感染系统： Win9X以上系统开发工具： Borland Delphi 5.0 加壳工具： UPX变形壳行为分析 1 、衍生下列副本与文件： %System32%\\DirectX9.dll %System32%\\MOSOU.dll %System32%\\mosou.exe %System32%\\msdebug.dll %System32%\wiztlbb.dll %System32%\wiztlbu.exe %System32%\\RemoteDbg.dll %Program Files%\\Internet Explorer\\PLUGINS\\870813.exe %Program Files%\\Internet Explorer\\PLUGINS\\System64.Jmp %Program Files%\\Internet Explorer\\PLUGINS\\System64.Sys 2 、新建下列注册表键值： HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RemoteDbg\\Description Value: String: " 允许 Administrators 组的成员进行远程调试。 " HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RemoteDbg\\DisplayName Value: String: "Remote Debug Service" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RemoteDbg\\ImagePath Value: Type: REG_EXPAND_SZ Length: 53 (0x35) bytes %WINDIR%System32\\rundll32.exe RemoteDbg.dll,input. HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\MSDebugsvc\\Description Value: String: " 为计算机系统提供 32 位调试服务。如果此服务被禁用，所有明确依赖它的服务都将不能启动。 " HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\MSDebugsvc\\DisplayName Value: String: "Win32 Debug Service" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\MSDebugsvc\\ImagePath Value: Type: REG_EXPAND_SZ Length: 51 (0x33) bytes %WINDIR%System32\\rundll32.exe msdebug.dll,input. HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\@ Value: String: "%Program Files%\\Common Files\\Services\\svchost.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\MicrosoftAutorun5 Value: String: "%WINDIR%System32\\mosou.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\Microsoft Autorun7 Value: String: "%WINDIR%System32\wiztlbu.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\ {754FB7D8-B8FE-4810-B363-A788CD060F1F}\\InProcServer32\\@ Value: String: "%Program Files%\\Internet Explorer\\PLUGINS\\System64.Sys" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\ {754FB7D8-B8FE-4810-B363-A788CD060F1F}\\@ Value: String: "" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ActiveSetup\\ Installed Components\\{2bf41073-b2b1-21c1-b5c1-0701f4155588}\\StubPath Value: Type: REG_EXPAND_SZ Length: 51 (0x33) bytes %Program Files%\\Common Files\\Services\\svchost.exe. 3 、病毒体下载地址： www.z363.com(5.3.5.12)/yx/zt.exe www.z363.com(5.3.5.12)/yx/cq.exe www.z363.com(5.3.5.12)/yx/mh.exe www.z363.com(5.3.5.12)/yx/wow.exe 4 、病毒体试图执行下列恶意行为： net Stop Norton Antivirus Auto Protect Service net Stop mcshield net stop "Windows Firewall/Internet Connection Sharing (ICS)" net stop System Restore Service Windows Security Center 结束窗体名为下列的进程：噬菌体木马克星 wopticlean.exe eghost.exe kavpfw.exe roguecleaner.exe regedit.exe 360safe.exe 5 、衍生文件 nwiztlbu.exe 包含调用“ ntsd –c q –p % 要结束的进程 pid% ”的恶意代码：瑞星卡卡上网助手 AVP 注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。清除方案 1 、使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1)使用安天木马防线结束病毒进程： %System32%\\mosou.exe %System32%\wiztlbu.exe (2)删除病毒添加的注册表项： HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\ {754FB7D8-B8FE-4810-B363-A788CD060F1F}\\InProcServer32\\@ Value: String: "%Program Files%\\Internet Explorer\\ PLUGINS\\System64.Sys" (3)重新启动到安全模式下。 (4)删除病毒释放文件： %System32%\\DirectX9.dll %System32%\\MOSOU.dll %System32%\\mosou.exe %System32%\\msdebug.dll %System32%\wiztlbb.dll %System32%\wiztlbu.exe %System32%\\RemoteDbg.dll %Program Files%\\Internet Explorer\\PLUGINS\\870813.exe %Program Files%\\Internet Explorer\\PLUGINS\\System64.Jmp %Program Files%\\Internet Explorer\\PLUGINS\\System64.Sys
随便看	标型矿物标型器标型元素标雄标秀标序标讯标押标一标仪标译标异标引语言和标引方法基础教程标颖标映标映S700 标优2号标友网标语口号文化透视标语如潮见真情标遇标韵标杂A1 标杂A2 标杂A3