Trojan-Downloader.Win32.Bagle.y:木馬病毒,該病毒屬木馬下載類,屬白鴿病毒家族的一個變種。病毒使用Windows BMP圖示。病毒第一次運行後會打開%system%\ntimage.gif,並在註冊表檔案中新建一個鍵值,表示該主機已經被感染,病毒運行後複製自身到%system\anti_troj.exe%下,修改註冊表檔案,添加到啟動項。病毒還會在%windir%目錄下是釋放一個名為“exefld” 的資料夾,病毒嘗試連線一些網站並下載病毒相關檔案到“exefld”下運行。該病毒對用戶有一定的危害。
基本介紹
- 中文名:白鴿變種
- 外文名: Trojan-Downloader.Win32.Bagle.y
- 病毒類型:木馬
- 公開範圍:完全公開
- 檔案長度:6,133 位元組
基本信息,行為分析,清除方案,
基本信息
病毒名稱: Trojan-Downloader.Win32.Bagle.y
中文名稱: 白鴿變種
病毒類型: 木馬
檔案 MD5: 95FEE1D6C60D58FD5D66AB67EBF1E2C8
公開範圍: 完全公開
危害等級: 中
感染系統: Windows 98及以上版本
開發工具: Microsoft Visual C++
加殼類型: yoda's Crypter
命名對照: Symentec[Trojan.Lodear.l]
Mcafee[W32/Bagle.gen]
行為分析
1、病毒運行後複製自身到:%SYSTEM32%\anti_troj.exe
2、修改註冊表檔案,添加啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\anti_tro
鍵值: 字串: "C:\WINNT\System32\anti_troj.exe"
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion
\Run\anti_troj
鍵值: 字串: "C:\WINNT\System32\anti_troj.exe"
3、病毒第一次運行後會打開%system%\ntimage.gif,並在註冊表檔案中添加鍵值,表示該主機已經被感染:
HKEY_USERS\Software\FirstRRRun\FirstRRRun
鍵值: DWORD: 1 (0x1)
4、病毒嘗試連線一些網站並且下載病到%WINDOWS%\exefld\< RANDOM NAME >.exe,而後運行。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%SYSTEM32%\anti_troj.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\anti_tro
鍵值: 字串: "C:\WINNT\System32\anti_troj.exe"
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion
\Run\anti_troj
鍵值: 字串: "C:\WINNT\System32\anti_troj.exe"
