Worm.Win32.Agent.o

病毒標籤

檔案 MD5： E320AF8A6635B387876C4A7B473EB1CD

檔案長度： 117,860 位元組

感染系統： windows98以上版本

開發工具： Microsoft Visual C++ 6.0

加殼類型： UPX 0.89.6 - 1.02 / 1.05 - 1.22

命名對照：驅逐艦[Trojan.MulDrop.4601]

BitDefender [無]

行為分析

1、病毒圖示偽裝成資料夾的圖示，用來迷惑用戶點擊運行。

2、病毒運腿墓挨罪行後衍生病毒檔案：

%system32%\kernel32.sys

%system32%\mfc48.dll

%system32%\~%ms%hcopy.tmp

3、修炒幾恥改註冊表，添恥悼加啟動項，以達到隨機啟動的目的，保護病毒檔案不被刪除：

修改的註冊表項：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT

\CurrentVersion\Windows\

新建鍵值: 字串: "AppInit_DLLs"="kernel32.sys"

原鍵值: 字串: "AppInit_DLLs"照嘗故海=""

新建的註冊表項：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\\InprocServer32\

鍵值: 字串: "@"="C:\WINDOWS\java\classes\java.dll"

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion

\Explorer\Advanced\

鍵值: 字串: "ShowSuperHidden"="0"

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion

\Explorer\Advanced\

鍵值: 字串: "ShowSuperHidden"="0"

註：% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System文盼熱雅件夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木馬防線可徹底清除此病毒(推薦)。

2、手工清除請故兆戰按照行為分析刪除對應檔案，恢復相關係統設定。

(1) 使用安天木馬防線“進程管理”關閉病毒進程

(2) 刪除病毒檔案

%system32%\kernel32.sys

%system32%\mfc48.dll

%system32%\~%ms%hcopy.tmp

(3) 恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

\Windows\

新建鍵值: 字串: "AppInit_DLLs"="kernel32.sys"

原鍵值: 字串: "AppInit_DLLs"=""

新建的註冊表項：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\\InprocServer32\

鍵值: 字串: "@"="C:\WINDOWS\java\classes\java.dll"凳狼贈

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion

\Explorer\Advanced\

鍵值: 字串: "ShowSuperHidden"="0"

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion

\Explorer\Advanced\

鍵值: 字串: "ShowSuperHidden"="0"

Worm.Win32.Agent.o

基本介紹

病毒標籤

行為分析

相關詞條

熱門詞條