基本介紹
病毒名稱,捕獲時間,病毒症狀,病毒分析,感染對象,傳播途徑,
病毒名稱
Backdoor.Win32.Agent.evx
捕獲時間
2007-10-21
病毒症狀
病毒分析
該後門程式激活後,在C:\Documents and Settings\All Users\Application Data\Microsoft\Application Data目錄下生成win87qq.dll和termsv.exe檔案,在C:\Program Files\Common Files\Real\Update_OB目錄下生成realsched.exe檔案;尋找名為Ie4Service和Ie9Service的窗體,如果存在則說明該病毒已經運行,程式自動退出;否則開啟一定時器,使程式休眠1200000 ms(20分鐘),定時器到時後才會進行病毒行為;添加註冊表啟動項到HKLM下的RUN中指向realsched.exe檔案,使得病毒可以隨系統自動啟動;開啟新的進程分別運行realsched.exe和termsv.exe檔案;利用一個批處理刪除自身並退出。
realsched.exe啟動後,連線網路遠程下載病毒更新程式,並開啟後門與黑客連線,接受黑客的控制。
病毒添加的註冊表項:
項:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值:TkBellExe
指向檔案:C:\Program Files\Common Files\Real\Update_OB\realsched.exe
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁掛馬,檔案捆綁,黑客攻擊