Win32/Abetear.A是一種特洛伊病毒,作為一個服務安裝在被感染機器上。它會修改系統設定,從某類DNS查詢中獲取系統名稱傳送到遠程伺服器。它還會從遠程伺服器請求更新病毒。
基本介紹
- 中文名:特洛伊病毒
- 外文名:Win32.Abetear.A
- 屬性:病毒
- 危害性:中等危害
病毒名稱,病毒特性,感染方式,系統危害,
病毒名稱
其它名稱:Abetear A (CA Anti-Spyware), TROJ_AGENT.VBS (Trend), AdClicker-FK (McAfee), Trojan.Vundo (Symantec), Trojan.Win32.Agent.aoy (Kaspersky)
病毒特性
Win32/Abetear.A是一種特洛伊病毒,作為一個服務安裝在被感染機器上。它會修改系統設定,從某類DNS查詢中獲取系統名稱傳送到遠程伺服器。它還會從遠程伺服器請求更新病毒。
感染方式
運行時,Win32/Abetear.A嘗試生成並啟動一個新的服務,顯示"DomainService"名稱:
如果不成功,特洛伊生成一個註冊表鍵值,以確保下一次系統啟動時生成以上服務,隨後運行病毒:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DDC = ""
例如:如果特洛伊被安裝在%System%\rgdkhyum.exe,它就會生成以下註冊表:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DDC = "%System%\rgdkhyum.exe"
如果Abetear.A成功生成這個服務,它就會刪除以上註冊表,並作為一個服務運行病毒危害。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
系統危害
修改系統設定
Abetear.A生成以下註冊表鍵值,防止Windows檔案保護對話框顯示:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable = 4
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Windows File Protection\SFCDisable = 4
在Windows XP Service Pack 2 或更高版本上運行時,修改以下註冊表,允許病毒通過Windows 防火牆:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ = ":*:Enabled:XXX"
例如:當它默認安裝時,註冊表可能修改為:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Windows
\System32\rgdkhyum.exe = "C:\Windows\System32\rgdkhyum.exe:*:Enabled:XXX"
傳送DNS Cache詳細信息到遠程伺服器
Abetear.A 連線 23.244.141.185上的一台伺服器,並傳送假的任意生成的標識符和病毒版本號,伺服器回應一個用戶ID。這個用戶ID與其它信息一起保存在以下註冊表中:
HKLM\Software\Microsoft\DomainService
如果Abetear.A 不作為一個服務運行,就會使用以下註冊表替換:
HKCU\Software\Microsoft\DomainService
它會定期的poll(或查詢)這個伺服器,看它是否仍然在運行。
下載更新
遠程伺服器可能給特洛伊的poll回應一個命令,讓Abetear.A更新自己,還會回應給它一個下載更新的URL。Abetear將下載的檔案保存到%Temp%\aupddc.exe,並刪除以下註冊表:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DDC
隨後特洛伊啟動這個新下載的檔案,並停止運行。
註:'%Temp%'是一個可變的路徑。病毒通過查詢作業系統來決定Temp資料夾的位置。一般在以下路徑"C:\Documents and Settings\\Local Settings\Temp",或"C:\WINDOWS\TEMP"。