Trojan-Downloader.Win32.Agent.kzh病毒是一個使用Delphi編寫的木馬程式,長度為27,852位元組,圖示為常規執行檔圖示,病毒擴展名為exe。
基本介紹
- 外文名:Trojan-Downloader.Win32.Agent.kzh
- 捕獲時間:2007-10-19
- 病毒類型:木馬
- 鍵值:oqotpwd
基本信息,傳播過程,
基本信息
Trojan-Downloader.Win32.Agent.kzh
病毒分析
該木馬程式激活後,拷貝自身到C:\PROGRAM FILES\COMMON FILES\SYSTEM目錄下並重命名為ipslgcs.exe,拷貝自身到C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED目錄下並重命名為jnodbqv.exe,將兩個檔案的屬性修改為隱藏和系統;添加註冊表啟動項,使jnodbqv.exe隨系統自動啟動;通過修改註冊表項禁用服務SharedAccess、helpsvc、wscsvc和wuauserv;修改系統時間,使部分殺軟無法正常運行;試圖強行關閉“我的電腦”視窗;試圖強行結束explorer.exe進程;使用映像劫持技術劫持多種安全軟體,當用戶試圖運行這些軟體時便會激活病毒;強行刪除多種防毒軟體和防火牆的自啟動項,使其無法隨系統啟動;在非系統邏輯驅動器和可移動存儲介質中釋放隱藏病毒檔案oqotpwd.exe以及autorun.inf,試圖利用Windows自動播放功能進行傳播;連線惡意網站http://www.***.com/,在後台下載有害病毒程式。
傳播過程
項:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
指向檔案:jnodbqv.exe
劫持的安全軟體:
avp.exe
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Navapw32.exe
avconsol.exe
webscanx.exe
NPFMntor.exe
vsstat.exe
KPfwSvc.exe
RavTask.exe
Rav.exe
RavMon.exe
mmsk.exe
WoptiClean.exe
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KASMain.exe
KASTask.exe
……
感染對象
Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁掛馬、可移動存儲