該病毒運行後,衍生病毒檔案到系統目錄下,此檔案具有恢復郵件密碼功能。可能用於計畫系統攻擊,或可能用於為這樣的攻擊開發工具軟體或執行攻擊的任何工具。
基本介紹
- 中文名:Trojan.Win32.Agent.aax
- 病毒名稱:Trojan.Win32.Agent.aax
- 病毒類型:木馬類
- 公開範圍: 完全公開
- 危害等級:中等
病毒,病毒描述,清除方案,
病毒
病毒名稱: Trojan.Win32.Agent.aax
中文名稱: Agent變種
病毒類型: 木馬類
檔案 MD5: ED9BE7D91DF8EA41C5939C90821AADB1
公開範圍: 完全公開
危害等級: 中等
檔案長度: 78,336 位元組
感染系統: Win2000以上系統
開發工具: Microsoft Visual C++ 7.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
命名對照: 驅逐艦[Trojan.Filegrab]
Ewido[Trojan.Filegrab]
病毒描述
行為分析:
1、衍生下列副本與檔案
%\Documents and Settings%\commander\Local Settings\Temp\ tmpf0.exe
2、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ms
鍵值: 字元串: "病毒所在路徑"
3、連線木馬客戶端:
208.66.195.67
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
病毒檔案名稱.exe
(2) 刪除病毒釋放檔案
%\Documents and Settings%\commander\Local Settings\Temp\ tmpf0.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\ms鍵值: 字元串: "病毒所在路徑"
