該病毒屬木馬類,病毒運行後在系統目錄釋放檔案,之後修改註冊表檔案,添加啟動項,以便開機後自動運行。嘗試http://**.***.***.***/official/index.jsp下載sogoutb_setup.exe檔案到本地運行。該病毒對用戶有一定的危害。
基本介紹
- 中文名:Trojan.Win32.Agent.se
- 病毒類型:木馬類
- 危害等級:中
- 檔案長度:64,818 位元組
概述,行為分析,
概述
病毒名稱:Trojan.Win32.
病毒類型:木馬類
危害等級:中
檔案長度:64,818 位元組
檔案MD5:7EA051182E1EFD6E1016F943B2D9E3BE
公開範圍:完全公開
感染系統:Win9x以上所有版本
開發工具:Nullsoft PiMP Stub
行為分析
1 、在系統目錄下釋放下列檔案:
%\WINDOWS%\%system32%\supdate2.dll 大小: 35,840位元組。
2 、添加註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent
\CurrentVersion\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent
\CurrentVersion\Parameters\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent
\CurrentVersion\Parameters\TrapPollTimeMilliSecs
值: DWORD: 15000 (0x3a98)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\supdate2.dll
值: 字元串: "RUNDLL32.EXE C:\WINDOWS\system32\supdate2.dll,Run"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunOnce\supdate2.dll
值: 字元串: "REGSVR32.EXE /s C:\WINDOWS\system32\supdate2.dll"
3 、該病毒運行後會自動隨機用本地1111以上連線埠連線下列IP:
61.***1.203:80
61.***1.206:80
61.***1.200:80
61.***1.202:80
61.***1.200:80
下載一個名為sogoutb_setup.exe的檔案,MD5:acc3f7156ba67e49cb9832c53d263de3
--------------------------------------------------------------------------------