Backdoor.Win32.Agent.pix

Backdoor.Win32.Agent.pix,該病毒是後門型病毒,病毒圖示為"HTML Document"類型,以迷惑用戶點擊運行病毒。病毒運行後,衍生病毒檔案rapimgr.exeutilty.exe到系統目錄%System32%下;新增註冊表項,創建服務ClientService,病毒服務啟動的映像路徑指向utilty.exe;創建服務RMTCS,病毒服務啟動的映像路徑指向rapimgr.exe;用來當任意用戶登入系統時運行病毒檔案rapimgr.exe、utilty.exe。

基本介紹

  • 外文名:Backdoor.Win32.Agent.pix
  • 病毒類型: 後門
  • 公開範圍:完全公開
  • 危害等級:4
病毒標籤,病毒描述,行為分析,清除方案,

病毒標籤

病毒名稱: Backdoor.Win32.Agent.pix
病毒類型: 後門
檔案 MD5: CA79F53A37B149F2340B5108FC559025
公開範圍: 完全公開
危害等級: 4
文棕頌件長度: 加殼後37,197 位元組 脫殼後133,120位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: FSG 2.0

病毒描述

該病毒在執行完自身代碼後,會結束自身進程,刪紙戀臘促除自身。受感染用戶可能會被操縱進行Ddos攻擊、遠程控制、機密信息丟失、傳送垃圾郵件、創建本地Tftp、下載病毒檔案等行為。

行為分析

本地行為
1、檔案運行後會釋放以下檔案
%System32%\rapimgr.exe 37,197位元組
%System32%\utilty.exe 36,265位元組
2、新增註冊表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClientService]
注您腿戲冊表值: " Description "
類型: REG_SZ
字元串: "監視新硬碟驅動器並向邏輯磁碟管理器管理服務傳送卷的信息以便配置。如果此服務被終止,動態磁碟狀態和配置信息會過時。如果此服務被禁用,任何依賴它的服務將無法啟動。"
描述:服務描述
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClientService]
註冊表值: " DisplayName "
類型: REG_SZ
字元串: "Distributed Link Tracking Client Service"
描述:服務名稱
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClientService]
註冊表值: "ImagePath"
類型: REG_SZ
字元串: "C:\WINDOWS\system32\utilty.exe"
描述:服務的映像檔案的啟動路徑
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClientService]
註冊表值: "Start "
類型: DWORD
值: 2
描述:服務的啟動方式為自動
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RMTCS]
註冊表值: " Description "
類型: REG_SZ
字元串: "使用傳輸協定而不是命名管道遠程過程調用(RPC)程式提供安全機制。"
描述:服務描述
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RMTCS]
註冊表值: " DisplayName "
類型: REG_SZ
字元串: "Remote Tracking Client Service"
描述:服務名稱
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RMTCS]
註冊表值: "ImagePath"
類型: REG_SZ
字元串: "C:\WINDOWS\system32\rapimgr.exe"
描述:服務的映像檔案的啟動路徑
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RMTCS]
註冊表值: "Start "
類型: DWORD
值: 2
描述:服務的啟動方式為自動
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir%     WINDODWS所在灑灑船目錄
%DriveLetter%    邏輯驅動器根體陵達項目錄
%ProgramFiles%      系統程式默認安裝目錄
%HomeDrive%   當前啟動的系統的所在分區拳敬棗
%Documents and Settings%  當前用戶文檔根目錄
%Temp%    \Documents and Settings\當前用戶\Local Settings\Temp
%System32%  系統的System32資料夾
Windows2000/NT中默認的安裝路擊辣晚徑是C:\Winnt\System32
Windows95/98/me中默認的安裝路徑是C:\Windows\System
WindowsXP中默認的安裝路徑是C:\Windows\System32

清除方案

1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用ATOOL“進程管理”關閉病毒進程 %System32%\rapimgr.exe、%System32%\utilty.exe 。
(2) 刪除病毒衍生的檔案
%System32%\rapimgr.exe
%System32%\utilty.exe
(3) 刪除病毒添加的註冊表服務項
刪除[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下的ClientService、RMTCS服務。
註冊表值: "Start "
類型: DWORD
值: 2
描述:服務的啟動方式為自動
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RMTCS]
註冊表值: " Description "
類型: REG_SZ
字元串: "使用傳輸協定而不是命名管道遠程過程調用(RPC)程式提供安全機制。"
描述:服務描述
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RMTCS]
註冊表值: " DisplayName "
類型: REG_SZ
字元串: "Remote Tracking Client Service"
描述:服務名稱
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RMTCS]
註冊表值: "ImagePath"
類型: REG_SZ
字元串: "C:\WINDOWS\system32\rapimgr.exe"
描述:服務的映像檔案的啟動路徑
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RMTCS]
註冊表值: "Start "
類型: DWORD
值: 2
描述:服務的啟動方式為自動
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir%     WINDODWS所在目錄
%DriveLetter%    邏輯驅動器根目錄
%ProgramFiles%      系統程式默認安裝目錄
%HomeDrive%   當前啟動的系統的所在分區
%Documents and Settings%  當前用戶文檔根目錄
%Temp%    \Documents and Settings\當前用戶\Local Settings\Temp
%System32%  系統的System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
Windows95/98/me中默認的安裝路徑是C:\Windows\System
WindowsXP中默認的安裝路徑是C:\Windows\System32

清除方案

1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用ATOOL“進程管理”關閉病毒進程 %System32%\rapimgr.exe、%System32%\utilty.exe 。
(2) 刪除病毒衍生的檔案
%System32%\rapimgr.exe
%System32%\utilty.exe
(3) 刪除病毒添加的註冊表服務項
刪除[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下的ClientService、RMTCS服務。

相關詞條

熱門詞條

聯絡我們