該病毒屬後門類,病毒運行後複製自身到%windir%\目錄下,檔案名稱隨機,並釋放一個檔案名稱隨機dll檔案,而後修改註冊表檔案,添加到啟動項,確保二者隨系統啟動。病毒還會嘗試收集感染系統的相關信息。
基本介紹
- 外文名:Backdoor.Win32.Agent.em
- 病毒類型: 後門
- 公開範圍: 完全公開
- 危害等級: 中
病毒檔案,病毒描述,行為分析,清除方案,
病毒檔案
病毒名稱: Backdoor.Win32.Agent.em
檔案 MD5: 2BBF0F7B518292D52830CE1F5FB7D0DE
檔案長度: 262,656 位元組
感染系統: windows 98 及以上版本
開發工具: Borland C++
加殼類型: UPX
命名對照: Symentec[Backdoor.Trojan]
Mcafee[Downloader-RV.dr]
病毒描述
該病毒屬後門類,病毒運行後複製自身到%windir%\目錄下,檔案名稱隨機,並釋放一個檔案名稱隨機dll檔案,而後修改註冊表檔案,添加到啟動項,確保二者隨系統啟動。病毒還會嘗試收集感染系統的相關信息。該病毒對用戶有一定的危害。
行為分析
1、複製、釋放原病毒副本到:
<random file name>.exe 原病毒副本
<random file name>.dll
2、修改註冊表檔案,達到隨系統啟動的目的:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值:字串:%Windir%\<random file name>.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值:字串:%Windir%\<random file name>.dll
3、嘗試收集感染系統的信息。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬“進程管理”關閉病毒進程
(2) 刪除病毒檔案:在%windir%下按照“創建日期”查看近期檔案,並使用安天木馬掃
描,確定是否為病毒檔案。
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值:字串:%Windir%\<random file name>.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值:字串:%Windir%\<random file name>.dll
