Worm.Win32.Agent.t_中文百科全書

Worm.Win32.Agent.t，電腦病毒，該病毒運行後，衍生病毒副本到系統多個目錄下，添加註冊表多處·自啟動項以跟隨系統引導病毒體。連線網路獲取病毒更新地址以下載病毒體到本機運行。下載的病毒程式包含後門程式、蠕蟲程式、木馬程式等。修改註冊表相關鍵值，以隱藏病毒體，搜尋除C以外的d-z個邏輯驅動器，在其根目錄下衍生自動運行檔案及病毒副本，當用戶雙擊盤符時，即激活病毒體。病毒衍生·的程式會下載其它病毒，從而造成連鎖反應，嚴重情況下，可造成用戶down機。

基本介紹

外文名：Worm.Win32.Agent.t
病毒類型：蠕蟲類
公開範圍：完全公開
危害等級：4

Worm.Win32.Agent.t分析

出處：安天CERT

檔案 MD5： C4BFC29229607CBEA877CBC40EB5D098

檔案長度：脫殼前52,736 位元組，脫殼後145,920 位元組

感染系統： Win98以上版本

開發工具： Borland C++ 1999

加殼類型： PECompact 2.x -> Jeremy Collake

命名對照：趨勢[TROJ_DELF.JIP]SOPHOS[Mal/Behav-097]

NOD32[a variant of Win32/Agent.NAU worm]IKARUS[Worm.Win32.Agent.t]

AVG[Agent.FTJ]AVAST[Win32:Delf-DTM [Wrm]]

字串5

行為分析：

本地行為：

字串3

1、病毒件運行後.會衍生以下檔案：字串2

%WinDir%\112.exe

%WinDir%\121.exe

%WinDir%\123.exe

%WinDir%\444.exe

%WinDir%\817.exe

%WinDir%\concmd.dll

%WinDir%\netcom.dll

%System32%\449.exe

%WinDir%\Temp\~myC.tmp

%System32%\dirvers\2dfgbu9.sys

%System32%\dirvers\acpidisk.sys

%System32%\dirvers\mjaife1jj.sys

%Documents and Settings%\當前用戶名\LOCALS~1\Temp\install.exe 字串6

2、新增註冊表：字串2

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]

註冊表值: " Description "

字元串：" Network Connections Management "

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]

註冊表值: " DisplayName "

字元串："Windows Accounts Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]

註冊表值: "ImagePath "

字元串：" C:\WINDOWS\System32\449.exe "

字串6

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mjaife1jj\]

註冊.表值: " DisplayName "

字元串："mjaife1jj"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]

註冊表值: "ImagePath "

字元串：" C:\WINDOWS\System32\drivers\mjaife1jj.sys"

字串8

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]

註冊表值: " DisplayName "

字元串："acpidisk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]

註冊表值: "ImagePath "

字元串：" C:\WINDOWS\System32\drivers\acpidisk.sys "

字串6

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]

註冊表值: "2dfgbu9System Bus Extender"

字元串："acpidisk"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]

註冊表.值: "ImagePath "

字元串： " C:\WINDOWS\System32\drivers\2dfgbu9.sys" 字串9

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]

註冊表值: " MSetup "

字元串： " C:\DOCUME~1\當前用戶名\LOCALS~1\Temp\install.exe " 字串1

3、修改註冊表

字串6

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]

新建鍵值：字串：" C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\病毒副本名.exe "

原鍵值：字串："''C:\WINDOWS\system32\userinit.exe" 字串2

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue]

新建鍵值：字串：" 0"

原.鍵值：字串："''1"

類型：DWORD 字串3

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache]

新建鍵.值：字串：''C:\Documents and Settings

\當前用戶名\Local Settings\Temporary Internet Files''

原鍵值：字串：''C:\WINDOWS\system32\config\systemprofile

\Local Settings\Temporary Internet Files ''字串7

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache]

新建鍵值：字串："C:\Documents and Settings\當前用戶名\Cookies"

原鍵值：字串："C:\WINDOWS\system32\config\systemprofile\Cookies" 字串2

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History]

新建鍵值：字串："C:\Documents and Settings\當前用戶名\Local Settings\History"

原.鍵值：字串："C:\WINDOWS\system32\config\systemprofile\Local Settings\History " 字串3

4、刪除注.冊表鍵值字串4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]

註冊表值:" MSConfig "

類型：Stirng

字元串：" C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto "

字串4

網路行為：

字串1

1、連線目標主機：

協定：TCP

域名或IP位址：

218.61.15.**連線埠：　7000

218.61.19.***連線埠：　 7000

61.176.194.***連線埠：　7000

61.176.204.***連線埠：　7000

61.176.22.2.***連線埠：　 7000

2、連線.地址cha.onniro.cn(221.8.74.***)/text/****.txt病毒下載地址繼而下載病毒體：

協定：TCP

連線埠：80

hxxp://www.qqxi***ng.cn/svchost.exe

hxxp://www.51**t.com/haohao.exe

hxxp://huimie.xi**.net/qqqyyy.exe

hxxp://www.jzm***.com(61.176.195.***)/m/xy.exe

hxxp://www.48**.com(221.8.74.***)/rar/my_70136.rar

hxxp://qqqyyy2.33**.org(218.61.18.**)/Server.exe

字串5

hxxp://www.ad99**.com(218.61.18.**)/qqqyyy.exe

hxxp://www.48**.com(221.8.74.***)/rar/socvher.rar

hxxp://www.4***.com/rar/my_70136.rar

hxxp://www.tud***.net(222.169.224.**)/ad/bd2.rar

hxxp://www.tud***.net(222.169.224.**)/ad/bd4.rar

hxxp://www.tud***.net(222.169.224.**)/ad/bd6.rar

hxxp://www.tud***.net(222.169.224.**)/ad/bd8.rar 字串9

註：　%Windir% 　　 WINDODWS所在目錄

%DriveLetter%　　邏輯驅動器根目錄

%ProgramFiles%　　　系統程式默認安裝目錄

%HomeDrive% 　當前啟動的系統的所在分區

%Documents and Settings% 　當前用戶文檔根目錄

%Temp% 　\Documents and Settings

\當前用戶\Local Settings\Temp

%System32% 　系統的 System32資料夾

Windows2000/NT中默認的安裝路徑是C:\Winnt\System32

windows95/98/me中默認的安裝路徑是C:\Windows\System

windowsXP中默認的安裝路徑是C:\Windows\System32

清除方案：

1 、使用安天木馬防線可.徹底清除此病毒 ( 推薦 )

字串2

2 、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1)使用安天木馬防線“進程管理”關閉病毒進程：

112.exe

121.exe

123.exe

444.exe

817.exe

449.exe

(2)恢復病毒修改的註冊.表項目，刪除病毒添加的註冊表項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue]

新建鍵值：字串：" 0"

原鍵值：字串："''1"

類型：DWORD

(3)刪除病毒檔案：

%WinDir%\112.exe

%WinDir%\121.exe

%WinDir%\123.exe

%WinDir%\444.exe

%WinDir%\817.exe

%WinDir%\concmd.dll

%WinDir%\netcom.dll

字串5

%System32%\449.exe

%WinDir%\Temp\~myC.tmp

%System32%\dirvers\2dfgbu9.sys

%System32%\dirvers\acpidisk.sys

%System32%\dirvers\mjaife1jj.sys

%Documents and Settings%\當前用戶名\LOCALS~1

\Temp\install.exe

(4)恢復病毒修改的註冊.表項目，刪除病毒添加的註冊表項。

Worm.Win32.Agent.t

基本介紹

相關詞條

熱門詞條