Trojan.Win32.Agent.ksq:病毒標籤,行為分析,清除方案,

病毒名稱。此病毒為一個多執行緒病毒，病毒運行後，獲得當前檔案路徑和系統%Temp%路徑，判斷當前運行檔案是否是“%HomeDrive%\Documents and Settings\All Users\「開始」選單\程式\啟動\explorer.exe”若不是則複製原病毒檔案到“C:\Documents and Settings\All Users\「開始」選單\程式\啟動”目錄內，命名為explorer.exe並創建新執行緒運行程式；若是則建立新執行緒運行檔案。病毒衍生檔案、創建啟動項、連線網路下載檔案、利用bat檔案自刪除。

基本介紹

外文名：Trojan.Win32.Agent.ksq
病毒類型：木馬
危害等級： 5
公開範圍：完全公開

病毒標籤,行為分析,清除方案,

病毒標籤

病毒名稱： Trojan.Win32.Agent.ksq

檔案 MD5： 2B6D4988F6EE560E6B55C2E0F60B9EDC

檔案長度： 10,920 位元組

感染系統： Windows98以上版本

開發工具： Microsoft Visual C++

行為分析

本地行為

1、病毒衍生檔案到目錄：

%HomeDrive%\Documents and Settings\All Users\「開始」選單\程式\啟動\explorer.exe 10,920 位元組

內，使程式能隨系統啟動而運行。用explorer.exe做檔案名稱來迷惑用戶。

2、註冊服務

[HKLM\System\CurrentControlSet\Services]

註冊表值： "IIS Manager "

類型： REG_SZ

值： "c:\documents and settings\qiuniao\local settings\temp\1.tmp "

此服務啟動後，檔案即被刪除。

[HKLM\System\CurrentControlSet\Services]

註冊表值： "extrem.sys"

類型： REG_SZ

值： " C:\DOCUME~1\qiuniao\LOCALS~1\Temp\extrem.sys "（找不到檔案）

[HKLM\System\CurrentControlSet\Services]

註冊表值： "rdtsc"

類型： REG_SZ

值： "C:\DOCUME~1\qiuniao\LOCALS~1\Temp\rdtsc"（找不到檔案）

3、病毒創建bat檔案刪除自身

病毒在%HomeDrive%創建檔案_uninsep.bat。次檔案循環查看病毒運行目錄當遇到病毒檔案時將其刪除。

檔案內容如下：

:Repeat

del "C:\Documents and Settings\qiuniao\桌面\dumped_.exe"

if exist "C:\Documents and Settings\qiuniao\桌面\dumped_.exe" goto Repeat

其中C:\Documents and Settings\qiuniao\桌面\dumped_.exe為病毒原檔案。

網路行為

病毒訪問網路：

協定：TCP/IP

地址：www.lwe****.cn（218.61.17.***）

連線埠：80

行為：GET /pao.txt

返回信息：

HTTP/1.0 502 Bad Gateway

Server: squid/2.6.STABLE21

Date: Mon, 08 Sep 2008 02:59:01 GMT

Content-Type: text/html

Content-Length: 1101

Expires: Mon, 08 Sep 2008 02:59:01 GMT

X-Squid-Error: ERR_READ_ERROR 54

X-Cache: MISS from localhost

Connection: close

註： %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。

%Windir% 　　 WINDODWS所在目錄

%DriveLetter%　　邏輯驅動器根目錄

%ProgramFiles%　　　系統程式默認安裝目錄

%HomeDrive% 　當前啟動的系統的所在分區

%Documents and Settings% 　當前用戶文檔根目錄

%Temp% 　 \Documents and Settings\當前用戶\Local Settings\Temp

%System32% 　系統的 System32資料夾

Windows2000/NT中默認的安裝路徑是C:\Winnt\System32

windows95/98/me中默認的安裝路徑是C:\Windows\System

windowsXP中默認的安裝路徑是C:\Windows\System32

清除方案

1、使用安天防線可徹底清除此病毒（推薦）。

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1) 使用安天木馬防線或ATOOL進程管理結束病毒進程：進程命為explorer.exe，映像路徑為：%HomeDrive%\Documents and Settings\All Users\「開始」選單\程式\啟動\ 。

(2)打開註冊表編輯器刪除以下註冊表鍵值：

[HKLM\System\CurrentControlSet\Services]

註冊表值： "IIS Manager "

類型： REG_SZ

值： "c:\documents and settings\qiuniao\local settings\temp\1.tmp "

[HKLM\System\CurrentControlSet\Services]

註冊表值： "extrem.sys"

類型： REG_SZ

值： " C:\DOCUME~1\qiuniao\LOCALS~1\Temp\extrem.sys "（找不到檔案）

[HKLM\System\CurrentControlSet\Services]

註冊表值： "rdtsc"

類型： REG_SZ

值： "C:\DOCUME~1\qiuniao\LOCALS~1\Temp\rdtsc"（找不到檔案）

3、刪除病毒的衍生檔案：

%HomeDrive%\Documents and Settings\All Users\「開始」選單\程式\啟動\explorer.exe 10,920 位元組

%HomeDrive%\_uninsep.bat 檔案大小與病毒檔案名稱即路徑有關

Trojan.Win32.Agent.ksq

基本介紹

病毒標籤

行為分析

清除方案

熱門詞條