Backdoor.Win32.Agent.ahj

王朝百科·作者佚名 2010-02-19

宽屏版字体: 小|中|大|超大

病毒名称： Backdoor.Win32.Agent.ahj

病毒类型：后门

文件 MD5： 7DB2256231F54B253CCF52D4A6E7E96D

公开范围：完全公开

危害等级： 5

文件长度： 17,801 字节

感染系统： windows98以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： Xtreme-Protector v1.05

病毒描述：

该病毒属后门类，病毒运行后衍生病毒文件到系统目录下，并删除自身，修改注册表，新建服务，并以服务的方式达到随机启动的目的。在 %Favorites% 文件夹中创建 URL 文件，可以弹出相关色情网站。删除系统正常服务 ERSvc 。病毒衍生的文件 992219FBE.DLL 插入系统进程 winlogon.exe 、 scvhost.exe 、 csrss.exe 、 services.exe 、 explorer.exe 中。尝试关闭卡巴斯基反病毒软件。

行为分析：

1 、病毒运行后衍生病毒文件：

%system32%92219FBE.DLL

%system32%92219FBE.EXE

%system32%92219FBET.EXE

%Documents and Settings% 计算机用户名桌面免费点歌 .url

%Documents and Settings% 计算机用户名桌面午夜激情 .url

%Documents and Settings% 计算机用户名桌面火爆美女 .url

%Documents and Settings% 计算机用户名 Favorites 免费点歌 .url

%Documents and Settings% 计算机用户名 Favorites 午夜激情 .url

%Documents and Settings% 计算机用户名 Favorites 火爆美女 .url

%Documents and Settings% 计算机用户名 Local Settings

Temporary Internet FilesContent.IE5CHUFWD67i[1].exe

2 、修改注册表：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices92219FBE

键值 : 字串 : "ImagePath"="C:WINDOWSsystem3292219FBE.EXE -service"

3 、创建服务，并以服务的方式达到随机启动的目的：

服务名称： 92219FBE

显示名称： 92219FBE

描述： 92219FBE

可执行文件的路径： C:WINDOWSsystem3292219FBE.EXE -service

启动方式：自动

4 、删除系统正常服务 ERSvc ：

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesERSvc

键值 : 字串 : "Description"=" 服务和应用程序在非标准环境下运行时允许错误报告 "

5 、会自动弹出色情网站：

http://www.s*x1*6.cn/vip/

http://www.5*1*1.com/sg.html

http://www.5*1*1.com/moyu.html

6 、病毒衍生的文件 992219FBE.DLL 插入系统进程 winlogon.exe 、 scvhost.exe 、

csrss.exe 、 services.exe 、 explorer.exe 中。

7 、尝试关闭卡巴斯基反病毒软件。

8 、尝试修改系统时间为： 1997 年 11 月 18 日。 ( 修改未成功 )

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。

--------------------------------------------------------------------------------

清除方案：

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 禁止服务： 92219FBE

(2) 在安全模式下删除病毒文件：

%system32%92219FBE.DLL

%system32%92219FBE.EXE

%system32%92219FBET.EXE

%Documents and Settings% 计算机用户名桌面

免费点歌 .url

%Documents and Settings% 计算机用户名桌面

午夜激情 .url

%Documents and Settings% 计算机用户名桌面

火爆美女 .url

%Documents and Settings% 计算机用户名 Favorites

免费点歌 .url

%Documents and Settings% 计算机用户名 Favorites

午夜激情 .url

%Documents and Settings% 计算机用户名 Favorites

火爆美女.url

%Documents and Settings% 计算机用户名 Local Settings

Temporary Internet FilesContent.IE5CHUFWD67i[1].exe

专家建议:

1.注意系统时间是否被恶意更改。

2.在任务管理器中查看是否有陌生的比较可疑的进程存在。

3.尽快安装杀毒软件并开启实时监控功能。

手动查杀方法:打开系统的任务管理器，找到C:windowssystem32XXXX.exe进程并结束它，然后找到XXXX.exe和ggkb.bat文件将其删除即可。