該病毒為下載者木馬類,該病毒利用了加密手段將API全部加密,以達到躲避殺軟的查殺,運行後在%Windir%目錄下創建tempaq資料夾,調用internetopenurla函式打開一個HTTP連線地址,然後調用堆疊InternetReadFile函式讀取網頁上的內容;將網頁檔案保存到tempaq資料夾,並隱藏運行,經分析網頁的內容為PE格式檔案。
基本介紹
- 中文名:Trojan.Downloader.Win32.Agent.tpl
- 病毒類型:木馬下載器
- 公開範圍:完全公開
- 感染系統:Windows98以上版本
病毒標籤:,行為分析:,清除方案:,
病毒標籤:
病毒名稱: Trojan-Downloader.Win32.Agent.tpl
病毒類型: 木馬下載器
檔案 MD5: CA37146955652C2EB67B6BE87A7A1C45
公開範圍: 完全公開
危害等級: 4
檔案長度: 24,576 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
行為分析:
本地行為:
1、運行後在%Windir%目錄下創建tempaq資料夾。
2、調用internetopenurla函式打開一個HTTP連線地址,然後調用堆疊InternetReadFile函式讀取網頁上的內容:將網頁檔案保存到tempaq資料夾,並隱藏運行。
網路行為:
協定:TCP
連線埠:80
連線伺服器名:
http://sports.yaho****.com/image/logo.jpg?queryid=80029
IP位址:58.211.7.**
讀取的網頁檔案保存到本地運行後衍生檔案到
%system32%\drivers\dnnpgw6m.sys
%system32%\drivers\dnnpgw6m.sys
%system32%\system32\h0gq2mpll.dll
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32