基本介紹
- 中文名:Trojan-Downloader.Win32.Agent.bsc
- 病毒類型: 木馬類
- 公開範圍: 完全公開
- 危害等級:3
病毒簡介,行為分析,清除方案,
病毒簡介
病毒名稱: Trojan-Downloader.Win32.Agent.bsc
病毒類型: 木馬類
檔案 MD5: 7F6289796011D6DC1F00447EE501FD68
公開範圍: 完全公開
危害等級: 3
檔案長度: 1,078,784 位元組
感染系統: windows 98以上版本
開發工具: Borland C++
加殼類型: 無
行為分析
1 、病毒被激活後,複製自身到系統目錄和各個驅動器下,衍生病毒檔案:
%WINDIR%\QQ.exe
%Documents and Settings%\All Users\「開始」選單\
程式\啟動\Internet Explorer.exe
[DRIVE LETTER]:\ Autorun.inf
[DRIVE LETTER]:\ iexplore.exe
[DRIVE LETTER]:\ 網上資料 .htm.exe
2 、添加啟動項,以達到自啟動的目的:
⑴在註冊表中添加啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串: " QQ " = " %WINDIR%\QQ.exe "
⑵在 “「開始」選單\程式\啟動” 中 添加啟動項:
%Documents and Settings%\All Users\「開始」選單\程式\
啟動\Internet Explorer.exe
⑶在各個驅動器根目錄下釋放自身副本,添加AutoRun自啟動項:
[DRIVE LETTER]:\ Autorun.inf
[DRIVE LETTER]:\ iexplore.exe
3 、該病毒具有鍵盤記錄功能,用以記錄用戶的錄入信息。
4、在各個驅動器根目錄下釋放自身副本並命名為:網上資料.htm.exe。以Internet Explorer的
圖示為網上資料.htm.exe的顯示圖示,偽裝成網頁的 形式,用以迷惑用戶點擊。網上資料 .htm.exe為可變檔案名稱,內部列表為:
網上資料 .htm.exe
下載 .htm.exe
論文 .htm.exe
個人資料 .htm.exe
使用說明 .htm.exe
日記 .htm.exe
readme.htm.exe
重要內容 .htm.exe
未命名 .htm.exe
5、主動連線網路,開啟大量執行緒下載相關病毒檔案信息,下載地址如下:
125.126.1*0.1*4:80
59 .151.2* .1*0:80
125.126.1*4.7* :80
222.28 .1*2.1*0:80
220.181.1* .1*6:80
220.181.1* .1*4:80
221.194.1*4.3* :80
203.209.2*2.6* :80
203.209.2*2.5* :80
60 .28 .2*6.4* :80
60 .191.1*3.9* :80
60 .28 .2*2.6* :80
61 .135.1*1.2*0:80
61 .135.1*1.1*6:80
61 .152.1*8.1*1:80
64 .233.1*9.1*4:80
64 .213.2*0.1*1:80
211.94 .1*4.1*0:80
6、 該病毒通過移動存儲介質,惡意網站、其它病毒/木馬下載傳播, 可以盜取用戶敏感信息。
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。
Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝
路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2)刪除病毒檔案:
%WINDIR%\QQ.exe
%Documents and Settings%\All Users\
「開始」選單\程式\啟動\Internet Explorer.exe
[DRIVE LETTER]:\ Autorun.inf
[DRIVE LETTER]:\ iexplore.exe
[DRIVE LETTER]:\ 網上資料 .htm.exe
(3)恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
鍵值 : 字串: " QQ " = " %WINDIR%\QQ.exe "
(4)刪除在 “「開始」選單\程式\啟動” 中 啟動項:
%Documents and Settings%\All Users\
「開始」選單\程式\啟動\Internet Explorer.exe
(5)在各個 驅動器和 移動存儲介質 根目錄下建 Autorun病毒免疫:
創建 Autorun.inf檔案,屬性設為系統唯讀。