Trojan.Win32.Agent.axx
病毒名称:Trojan.Win32.Agent.axx(Kaspersky)
病毒别名:W32/Checkout(McAfee)
Dropper.Win32.InsteadMem.b(瑞星)
Win32.Troj.Agent.33792(毒霸)
病毒大小:33,792 字节
加壳方式:
样本MD5:9881d76dfc1d1f40366c62246307c12f
样本SHA1:8b7d34feb270dd15701fa70232bb33aaac0251e3
发现时间:2007.9
更新时间:2007.9
关联病毒:
传播方式:通过MSN传播
技术分析
========== 字串5
MSN蠕虫变种,向MSN联系人发送不同语言的诱惑文字消息和带毒压缩包,当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。 字串7
病毒运行后复制自身到系统目录:
%Windows%systemservices.exe 字串1
创建包含自身的带毒ZIP压缩包:
%Windows%IMG0024.zip
压缩包中包含的病毒文件名为:IMG0017-WWW.PHOTOUPLOAD.COM 字串3
创建启动项: 字串1
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Windows Services Registry"="%Windows%systemservices.exe"
字串6
在Windows防火墙中添加自身到.例外列表:
字串5
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParameters
FirewallPolicyStandardProfileAuthorizedApplicationsList]
字串1
"%Windows%systemservices.exe"="%Windows%systemservices.exe:*:
Enabled:Messenger Sharing" 字串9
设置注册表信息:
字串4
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl]
"WaitToKillServiceTimeout"="7000" 字串7
根据染毒系统的语言向MSN联系人发送相.应的诱惑文字消息,同时发送带毒压缩包IMG0024.zip诱使联系人接收打开: 字串9
QUOTE:
ay no ese pelo fue lo mas chistoso...q estabas pensando
jajaja yo me recuerdo cuando tuvistes el pelo asi
oye ponga esa foto en tu myspace como la foto principal
voy a poner esa foto de nosotros en mi blog ya
esa foto de tu y yo la voy a poner en myspace
hola esas son las fotos
jaja debes poner esa foto como foto principal en tu myspace o algo :D
oye voy a agregar esa foto a mi blog ya
jaja recuerda cuando tuviste el pelo asi
oye voy a poner esa foto de nosotros en mi myspace :->
Per favore nessuno lasciare vede le nostre foto
Io ricordo quando abbiamo portato questa foto
Caricher?questa foto al mio myspace adesso
Qui sono il fotos di ci
jaja lei dovrebbe fare quest''''''''il suo pic predefinito sul myspace o qualcosa :D
metta questi fotos in suo pagina myspace
ehi aggiunger?quest''''''''immagine di noi al mio weblog
jaja ricordo quando lei aveva i suoi capelli come questo
ehi metter?quest''''''''immagine di noi sul mio myspace :>
字串2
m鯿hten den pics von meinen Ferien sehen?
Wimmern! Blick auf diese alte Abbildung, die ich: fand
he ich zeige Ihnen diese Abbildung von mir 黚erhaupt?
Haha sollten Sie dieses Ihre R点kstellung auf myspace oder etwas pic bilden:D
he werde ich diese Abbildung von uns meinem weblog hinzuf黦en
lol erinnern sich, an als Sie pflegten, Ihr Haar so zu haben
he werde ich diese Abbildung von uns auf mein myspace setzen
wil je fotos zien van mijn vakantie
wow! moet je eens kijken welke foto ik nu gevonden heb
he heb je ooit deze foto laten zien ?
haha you moet die je standaard foto maken op hyves of myspace
hey ik voeg deze foto van ons ff toe op mijn weblog
lol ik kan me nog herrinneren toen je haar zoals dit had
Hey i zet deze foto van ons even op mijn myspace
d闲aut de la reproduction sonore ! regard ?cette vieille image que j''''''''ai trouv闲 : |
mes photos chaudes :D
haha vous devriez rendre ceci votre
d闲aut pic sur le myspace ou quelque chose :D 字串6
j''''''''ai fais pour toi ce photo album tu dois le voire :p
h?je vais ajouter cette image de nous ?mon weblog
le lol se rappellent quand vous aviez l''''''''habitude d''''''''avoir vos cheveux comme ceci
h?je vais mettre cette image de nous sur mon myspace :>
Check out my nice photo album. :D
wanna see the pics from my vacation? :>
Nice new photos of me and my friends and stuff and when i was young lol...
lol remember when you used to have your hair like this
My friend took nice photos of me.you Should see em loL!
hey i''''''''m going to add this picture of us to my weblog
Here are my private pictures for you
字串8
尝试连接远程IRC:sz.secdreg.org 字串3
清除步骤
========== 字串8
1. 删除病毒创.建的启动项: 字串9
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Windows Services Registry"="%Windows%systemservices.exe"
字串1
2. 重新启动计算机
字串6
3. 删除病毒文件:
%Windows%systemservices.exe
%Windows%IMG0024.zip
字串5
4. 删除Windows防火墙例外列表中的“Messenger Sharing”项:
该项对应病毒文件:%Windows%systemservices.exe
字串8
5. 设置注册.表信息:
字串3
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl]
"WaitToKillServiceTimeout"="20000" 字串2