Trojan-Downloader.Win32.Agent.bbb
Trojan-Downloader.Win32.Agent.bbb的行为特征,首先此病毒会创建文件到以下位置:
C:WINDOWSsystem32XXXX.dll
C:WINDOWSsystem32driversXXXXXX.sys
C:WINDOWSsystem32driversXXXXXXX.sys
写入注册表位置:
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesXXXX
HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesXXXX
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesXXXX
其中X代表是随机生成的字母或数字不固定,并且这些文件都是随计算机的启动就自动加载,尤其是sys文件,它以驱动的形式随机加载,所以大家在隐藏的设备管理器中可以看到相应的名称
这种病毒是作为驱动加载,所以手动删除时需要使用解锁工具先将其从系统中解锁(解除调用),然后删除即可。