Trojan.Downloader.Win32.Agent.tpl

該病毒為下載者木馬類,該病毒利用了加密手段將API全部加密,以達到躲避殺軟的查殺,運行後在%Windir%目錄下創建tempaq資料夾,調用internetopenurla函式打開一個HTTP連線地址,然後調用堆疊InternetReadFile函式讀取網頁上的內容;將網頁檔案保存到tempaq資料夾,並隱藏運行,經分析網頁的內容為PE格式檔案。

基本介紹

  • 中文名:Trojan.Downloader.Win32.Agent.tpl
  • 病毒類型木馬下載器
  • 公開範圍:完全公開
  • 感染系統:Windows98以上版本
病毒標籤:,行為分析:,清除方案:,

病毒標籤:

病毒名稱: Trojan-Downloader.Win32.Agent.tpl
病毒類型: 木馬下載器
檔案 MD5: CA37146955652C2EB67B6BE87A7A1C45
公開範圍: 完全公開
危害等級: 4
檔案長度: 24,576 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0

行為分析:

本地行為:
1、運行後在%Windir%目錄下創建tempaq資料夾。
2、調用internetopenurla函式打開一個HTTP連線地址,然後調用堆疊InternetReadFile函式讀取網頁上的內容:將網頁檔案保存到tempaq資料夾,並隱藏運行。
網路行為:
協定:TCP
連線埠:80
連線伺服器名:
http://sports.yaho****.com/image/logo.jpg?queryid=80029
IP位址:58.211.7.**
讀取的網頁檔案保存到本地運行後衍生檔案到
%system32%\drivers\dnnpgw6m.sys
%system32%\drivers\dnnpgw6m.sys
%system32%\system32\h0gq2mpll.dll
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。
%Windir%     WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive%  當前啟動的系統的所在分區
%Documents and Settings%  當前用戶文檔根目錄
%Temp%  \Documents and Settings\當前用戶\Local Settings\Temp
%System32%  系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32

清除方案:

1、使用安天防線可徹底清除此病毒。
2 、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL“進程管理”結束該病毒相關進程 。
(2)刪除病毒下載後衍生的檔案:
%system32%\drivers\dnnpgw6m.sys
%system32%\drivers\dnnpgw6m.sys
%system32%\system32\h0gq2mpll.dll

相關詞條

熱門詞條

聯絡我們