病毒资料:W32/Agent.D!tr | |||||||||
基本信息 | |||||||||
病毒名称: | W32/Agent.D!tr | 类型: | 木马 | 长度: | 8192 | 威胁级别: | 2 | 捕获日期: | 2006-03-13 |
其它别名: | Trojan-Downloader.Win32.Agent.agi,Troj/Sickbt-D,TROJ_AGENT.BKE | 影响系统: | Windows 9X,Windows 2K,Windows XP | ||||||
表现特征 | |||||||||
1、系统目录 %SYSTEM% 下存在文件 sysldr.dll; 2、若系统为 Windows NT(包括 NT/2K/XP 等),会弹出一个命令行窗口,窗口标题为 %SYSTEM%\svchost.exe; 3、如果安装有防火墙,可能会提示进程 explorer.exe 试图访问外部网络; | |||||||||
行为分析 | |||||||||
1、这是一个 PE 病毒,病毒文件使用 UPX 加壳,加壳后大小为 8,192 字节; 2、释放出文件 %SYSTEM%\sysldr.dll,这是一个恶意程序,Fortinet 命名为 W32/Sickbt.D!tr, 它从下列网址下载程序并执行: http://www.servicedwt.com/images/backgroung/de/stat.php http://idex.colocall.com/pressa/stat.php http://contentquick.com/admin/stat.php http://www.making-money-on-the-internet-is-easy.com/backup/stat.php http://www.articlelookup.com/ 3、创建下列注册表项: HKLM\SOFTWARE\Classes\CLSID\{RANDOM CLSID} HKLM\SOFTWARE\Classes\CLSID\{RANDOM CLSID}\InprocServer32 "(Default)" = "sysldr.dll" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad "sysldr" = "{RANDOM CLSID}" 使系统启动时该组件随 Explorer 而加载; 4、将自身拷贝为 %SYSTEM%\[ORIGINAL FILE NAME OF TROJAN]; 5、在注册表路径: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下创建自启动项: "sysldr" = "%SYSTEM%\[ORIGINAL FILE NAME OF TROJAN]"; 6、创建进程 svchost.exe,将病毒进程注入 svchost.exe,执行如下操作: a)、删除病毒文件; b)、加载病毒释放出的动态链接库文件 sysldr.dll; | |||||||||
清除方法 | |||||||||
1、删除病毒文件,若无法删除,则进入安全模式; 2、删除病毒添加的注册表项; 3、由于该病毒会下载其它程序运行,建议使用杀毒软件彻底扫描整个系统; |
正文
[病毒资料之四]svchost.exe进程病毒2006-08-14 00:25:00
【评论】 【打印】 【字体:大 中 小】 本文链接:http://blog.pfan.cn/fengfei/17552.html
阅读(6050) | 评论(0)
版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!
评论