該病毒屬木馬類,病毒運行後修改系統檔案, 修改註冊表,添加啟動項,以達到隨機啟動的目的 。病毒修改 host 系統,可以彈出廣告頁。
基本介紹
- 中文名:Trojan.BAT.Agent.r
- 病毒類型:木馬病毒
- 病毒作用:修改系統檔案,修改註冊表
- 檔案範圍:完全公開
- 危害等級:3
- 感染系統:Windows98以上系統
- 檔案 MD5:7F2EC65ECF20D065B967526F92AA08A4
- 檔案長度: 150,766 位元組
- 開發工具:Borland Delphi 6.0 - 7.0
- 加殼類型:無
- 命名對照: AVG [ Trojan horse Constructor.ACG ]BitDefender [ Virtool.Constructor.Delf.G ]
行為分析,清除方案,
行為分析
1 、修改系統檔案:
c:\WINDOWS\system.ini
c:\WINDOWS\system32\drivers\etc\hosts
c:\WINDOWS\win.ini
system.ini 增加的內容:
[boot]
shell=explorer.exe BV2008.bat
win.ini 增加的內容:
[windows]
run=C:\WINDOWS\BV2008.bat
load=C:\WINDOWS\BV2008.bat
host 檔案增加的內容:
127.0.0.1 google.com
127.0.0.1 google.de
127.0.0.1 symantec.de
127.0.0.1 free-av.de
127.0.0.1 free-av.com
127.0.0.1 antivir.de
127.0.0.1 antivir.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky.de
127.0.0.1 microsoft.com
127.0.0.1 microsoft.de
127.0.0.1 sophos.com
127.0.0.1 sophos.de
127.0.0.1 symantec.com
127.0.0.1 hijackthis.de
127.0.0.1 spychecker.com
127.0.0.1 trendmicro.com
127.0.0.1 trendmicro.de
127.0.0.1 lavasoftusa.com
127.0.0.1 yahoo.com
127.0.0.1 www.kingsoft.com
127.0.0.1 www.rising.com
127.0.0.1 www.rising.com.cn
127.0.0.1 www.mmsk.com
127.0.0.1 shadu.baidu.com
127.0.0.1 online.rising.com.cn
2 、修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
值 : 字元串 : "html"="C:\WINDOWS\24964.bat"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
值 : 字元串 : "Ravupdate"="C:\WINDOWS\BV2008.bat"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
值 : 字元串 : "Ravupdate"="C:\WINDOWS\BV2008.bat"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
值 : 字元串 : "BV2008"="C:\WINDOWS\BV2008.bat"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File xecution Options\CCenter.exe\
值 : 字元串 : "Debugger"="svchost.exe"
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 刪除病毒檔案
刪除
c:\WINDOWS\system.ini
c:\WINDOWS\system32\drivers\etc\hosts
c:\WINDOWS\win.ini
中增加的內容。
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
值 : 字元串 : "html"="C:\WINDOWS\24964.bat"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\
值 : 字元串 : "Ravupdate"="C:\WINDOWS\BV2008.bat"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\
值 : 字元串 : "Ravupdate"="C:\WINDOWS\BV2008.bat"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices\
值 : 字元串 : "BV2008"="C:\WINDOWS\BV2008.bat"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\
Image File Execution Options\CCenter.exe\
值 : 字元串 : "Debugger"="svchost.exe"
