Worm.Win32.Agent.az

王朝百科·作者佚名  2010-02-19  
宽屏版  字体: |||超大  

病毒名称: Worm.Win32.Agent.az

病毒类型: 蠕虫类

文件 MD5: 662122C6F05E39AD820F7EA125EF25D9

公开范围: 完全公开

危害等级: 4

文件长度: 加壳后 15,614 字节,脱壳后66,560 字节

感染系统: Win9X以上系统

开发工具: Microsoft Visual C++ 6.0

加壳类型: NsPack变形壳

命名对照: BitDefender [GenPack:Generic.Malware.Bdldg.FAE17B32]

病毒描述:

该病毒运行后,衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。

病毒体访问某动态更新的病毒地址页面,从而获得病毒的更新下载地址。下载的病毒体多为

网络游戏盗号程序。

行为分析:

1 、衍生下列副本与文件:

%C:%autorun.inf

%C:%

ising.exe

%WinDir%cmdbs.exe

%WinDir%macfee.exe

%WinDir%mppds.exe

%WinDir%msccrt.exe

%WinDir%estexe.exe

%WinDir%winform.exe

%System32%6D52D174.EXE

%System32%B0B2C20E.DLL

%System32%B0B2C20E.EXE

%System32%cmdbs.dll

%System32%macfee.dll

%System32%mppds.dll

%System32%msccrt.dll

%System32%estdll.dll

%System32%winform.dll

2 、新建注册表键值:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRuncmdbs

Value: String: "%WINDIR%cmdbs.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunmacfee

Value: String: "%WINDIR%macfee.exe /i"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunmppds

Value: String: "%WINDIR%mppds.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunmsccrt

Value: String: "%WINDIR%msccrt.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunestrun

Value: String: "%WINDIR%estexe.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunupxdnd

Value: String: "%DOCUME~1% 当前用户名 LOCALS~1Tempupxdnd.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunwinForm

Value: String: "%WINDIR%winform.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunsgktiq98kfb8xz

Value: String: "%DOCUME~1%antiyLOCALS~1Tempc0nime.exe"

3 、访问下列地址获取要更新的病毒体地址:

(2*2.7*.2*0.*5) n*.5*yl*.cn /soft//update.txt

(6*.1*2.9*.9*)p*pw*n.9*8*.com /update.txt

注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 , windows95/98/me 中默认的安装路径是 C:WindowsSystem , windowsXP 中默认的安装路径是 C:WindowsSystem32 。

--------------------------------------------------------------------------------

清除方案:

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线断开网络,结束病毒进程:

rising.exe

macfee.exe

mppds.exe

cmdbs.exe

msccrt.exe

testexe.exe

winform.exe

6D52D174.EXE

B0B2C20E.DLL

B0B2C20E.EXE

(2) 删除并恢复病毒添加与修改的注册表键值:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRuncmdbs

Value: String: "%WINDIR%cmdbs.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunmacfee

Value: String: "%WINDIR%macfee.exe /i"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunmppDs

Value: String: "%WINDIR%mppds.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunmsccrt

Value: String: "%WINDIR%msccrt.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunestrun

Value: String: "%WINDIR%estexe.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunupxdnd

Value: String: "%DOCUME~1% 当前用户

LOCALS~1Tempupxdnd.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunwinform

Value: String: "%WINDIR%winform.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionRunsgktiq98kfb8xz

Value:String:"%DOCUME~1%antiyLOCALS~1Tempc0nime.exe"

(3) 删除病毒释放文件:

%C:%autorun.inf

%C:%

ising.exe

%WinDir%cmdbs.exe

%WinDir%macfee.exe

%WinDir%mppds.exe

%WinDir%msccrt.exe

%WinDir%estexe.exe

%WinDir%winform.exe

%System32%6D52D174.EXE

%System32%B0B2C20E.DLL

%System32%B0B2C20E.EXE

%System32%cmdbs.dll

%System32%macfee.dll

%System32%mppds.dll

%System32%msccrt.dll

%System32%estdll.dll

%System32%winform.dll

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝百科 版权所有