Worm.Win32.Agent.az

病毒名称： Worm.Win32.Agent.az

病毒类型： 蠕虫类

文件 MD5： 662122C6F05E39AD820F7EA125EF25D9

公开范围： 完全公开

危害等级： 4

文件长度： 加壳后 15,614 字节，脱壳后66,560 字节

感染系统： Win9X以上系统

开发工具： Microsoft Visual C++ 6.0

加壳类型： NsPack变形壳

命名对照： BitDefender [GenPack:Generic.Malware.Bdldg.FAE17B32]

病毒描述：

该病毒运行后，衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。

病毒体访问某动态更新的病毒地址页面，从而获得病毒的更新下载地址。下载的病毒体多为

网络游戏盗号程序。

行为分析：

1 、衍生下列副本与文件：

%C:%autorun.inf

%C:%

ising.exe

%WinDir%cmdbs.exe

%WinDir%macfee.exe

%WinDir%mppds.exe

%WinDir%msccrt.exe

%WinDir%estexe.exe

%WinDir%winform.exe

%System32%6D52D174.EXE

%System32%B0B2C20E.DLL

%System32%B0B2C20E.EXE

%System32%cmdbs.dll

%System32%macfee.dll

%System32%mppds.dll

%System32%msccrt.dll

%System32%estdll.dll

%System32%winform.dll

2 、新建注册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRuncmdbs

Value: String: "%WINDIR%cmdbs.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunmacfee

Value: String: "%WINDIR%macfee.exe /i"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunmppds

Value: String: "%WINDIR%mppds.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunmsccrt

Value: String: "%WINDIR%msccrt.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunestrun

Value: String: "%WINDIR%estexe.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunupxdnd

Value: String: "%DOCUME~1% 当前用户名 LOCALS~1Tempupxdnd.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunwinForm

Value: String: "%WINDIR%winform.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunsgktiq98kfb8xz

Value: String: "%DOCUME~1%antiyLOCALS~1Tempc0nime.exe"

3 、访问下列地址获取要更新的病毒体地址：

(2*2.7*.2*0.*5) n*.5*yl*.cn /soft//update.txt

(6*.1*2.9*.9*)p*pw*n.9*8*.com /update.txt

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。

--------------------------------------------------------------------------------

清除方案：

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线断开网络，结束病毒进程：

rising.exe

macfee.exe

mppds.exe

cmdbs.exe

msccrt.exe

testexe.exe

winform.exe

6D52D174.EXE

B0B2C20E.DLL

B0B2C20E.EXE

(2) 删除并恢复病毒添加与修改的注册表键值：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRuncmdbs

Value: String: "%WINDIR%cmdbs.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunmacfee

Value: String: "%WINDIR%macfee.exe /i"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunmppDs

Value: String: "%WINDIR%mppds.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunmsccrt

Value: String: "%WINDIR%msccrt.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunestrun

Value: String: "%WINDIR%estexe.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunupxdnd

Value: String: "%DOCUME~1% 当前用户

LOCALS~1Tempupxdnd.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunwinform

Value: String: "%WINDIR%winform.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionRunsgktiq98kfb8xz

Value:String:"%DOCUME~1%antiyLOCALS~1Tempc0nime.exe"

(3) 删除病毒释放文件：

%C:%autorun.inf

%C:%

ising.exe

%WinDir%cmdbs.exe

%WinDir%macfee.exe

%WinDir%mppds.exe

%WinDir%msccrt.exe

%WinDir%estexe.exe

%WinDir%winform.exe

%System32%6D52D174.EXE

%System32%B0B2C20E.DLL

%System32%B0B2C20E.EXE

%System32%cmdbs.dll

%System32%macfee.dll

%System32%mppds.dll

%System32%msccrt.dll

%System32%estdll.dll

%System32%winform.dll

• ·Trojan-Downloader.win32
• ·宝梵镇
• ·Trojan-PSW.Win32.Delf.q
• ·Backdoor.Win32.Hupigon.
• ·Worm.Win32.Delf.by
• ·镇沅千家寨野生古茶树
• ·Trojan-PSW.Win32.OnLine
• ·Email-Worm.Win32.Bronto
• ·窥探者变种C(Worm.Randex.C)
• ·Worm.Win32.VB.gr