基本介紹
- 中文名:Trojan/Win32.Agent.bqqb[Proxy]
- 病毒類型:木馬
- 公開範圍: 完全公開
- 危害等級: 4
病毒信息,病毒描述,清除方案,
病毒信息
病毒名稱: Trojan/Win32.Agent.bqqb
病毒類型: 木馬
檔案 MD5: 38A7AAA9612401114396F7FF4E78F5C0
公開範圍: 完全公開
危害等級: 4
檔案長度: 36,864 位元組
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
病毒描述
smss.exe病毒檔案分析:創建互斥量名為"xinduanyou",確定當前系統版本是否為windows xp,如是則創建病毒驅動設備名"\\.\myprot",刪除%Windir%目錄下的winsys.exe、winsys.inf、%System32%\drivers目錄下的winyyy.sys病毒檔案,並重新衍生這幾個病毒檔案,釋放驅動檔案到%System32%\drivers目錄下,創建註冊表病毒服務,添加註冊表啟動項,開啟iexplore.exe進程連線網路讀取信息試圖下載惡意病毒檔案。
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用ATOOL進程管理工具結束
iexploer.exe、winsscoo.exe、smss.exe進程
(2) 強行刪除%WINDOWS%\Down_Temp目錄下所有的病毒檔案
%System32%\drivers\winyyy.sys
%Windir%\inf\oem5.inf
%Windir%\inf\oem5.PNF
%Windir%\inf\INFCACHE.1
%Windir%\winsscoo.exe
%Windir%\smss.exe
%Windir%\LastGood\INF\oem5.inf
%Windir%\LastGood\INF\oem5.PNF
(3) 刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSSCOM
刪除Services鍵值下的WinSSCOM主鍵值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MyProt
刪除Services鍵值下的MyProt主鍵值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}
刪除Network鍵值下的{4D36E975-E325-11CE-BFC1-08002BE10318}鍵值
HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery\LastGood\INF/oem5.inf
刪除LastGood鍵值下的oem5.inf、oem5.PNF鍵值
