积木首页 - 学院 - 软件测试 - 技术百科 - 问答 - 黄页 - 手册 - 站长工具 - 社区
登录 | 注册
    全站
技术百科 >> Trojan.Win32.Agent.ksq

Trojan.Win32.Agent.ksq



病毒标签
  病毒名称: Trojan.Win32.Agent.ksq
  病毒类型: 木马
  文件 MD5: 2B6D4988F6EE560E6B55C2E0F60B9EDC
  公开范围: 完全公开
  危害等级: 5
  文件长度: 10,920 字节
  感染系统: Windows98以上版本
  开发工具: Microsoft Visual C++

病毒描述
  此病毒为一个多线程病毒,病毒运行后,获得当前文件路径和系统%Temp%路径,判断当前运行文件是否是“%HomeDrive%\Documents and Settings\All Users\「开始」菜单\程序\启动\explorer.exe”若不是则复制原病毒文件到“C:\Documents and Settings\All Users\「开始」菜单\程序\启动”目录内,命名为explorer.exe并创建新线程运行程序;若是则建立新线程运行文件。病毒衍生文件、创建启动项、连接网络下载文件、利用bat文件自删除。

行为分析
  本地行为
  1、 病毒衍生文件到目录:
  %HomeDrive%\Documents and Settings\All Users\「开始」菜单\程序\启动\explorer.exe 10,920 字节
  内,使程序能随系统启动而运行。用explorer.exe做文件名来迷惑用户。
  2、注册服务
  [HKLM\System\CurrentControlSet\Services]
  注册表值: "IIS Manager "
  类型: REG_SZ
  值: "c:\documents and settings\qiuniao\local settings\temp\1.tmp "
  此服务启动后,文件即被删除。
  [HKLM\System\CurrentControlSet\Services]
  注册表值: "extrem.sys"
  类型: REG_SZ
  值: " C:\DOCUME~1\qiuniao\LOCALS~1\Temp\extrem.sys "(找不到文件)
  [HKLM\System\CurrentControlSet\Services]
  注册表值: "rdtsc"
  类型: REG_SZ
  值: "C:\DOCUME~1\qiuniao\LOCALS~1\Temp\rdtsc"(找不到文件)
  3、 病毒创建bat文件删除自身
  病毒在%HomeDrive%创建文件_uninsep.bat。次文件循环查看病毒运行目录当遇到病毒文件时将其删除。
  文件内容如下:
  :Repeat
  del "C:\Documents and Settings\qiuniao\桌面\dumped_.exe"
  if exist "C:\Documents and Settings\qiuniao\桌面\dumped_.exe" goto Repeat
  其中C:\Documents and Settings\qiuniao\桌面\dumped_.exe为病毒原文件。
  网络行为
  病毒访问网络:
  协议:TCP/IP
  地址:www.lwe****.cn(218.61.17.***)
  端口:80
  行为:GET /pao.txt
  返回信息:
  HTTP/1.0 502 Bad Gateway
  Server: squid/2.6.STABLE21
  Date: Mon, 08 Sep 2008 02:59:01 GMT
  Content-Type: text/html
  Content-Length: 1101
  Expires: Mon, 08 Sep 2008 02:59:01 GMT
  X-Squid-Error: ERR_READ_ERROR 54
  X-Cache: MISS from localhost
  Connection: close
  注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。
  %Windir% WINDODWS所在目录
  %DriveLetter% 逻辑驱动器根目录
  %ProgramFiles% 系统程序默认安装目录
  %HomeDrive% 当前启动的系统的所在分区
  %Documents and Settings% 当前用户文档根目录
  %Temp% \Documents and Settings\当前用户\Local Settings\Temp
  %System32% 系统的 System32文件夹
  Windows2000/NT中默认的安装路径是C:\Winnt\System32
  windows95/98/me中默认的安装路径是C:\Windows\System
  windowsXP中默认的安装路径是C:\Windows\System32

清除方案
  1、使用安天防线可彻底清除此病毒(推荐)。
  2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
  (1) 使用安天木马防线或ATOOL进程管理结束病毒进程:进程命为explorer.exe,映像路径为:%HomeDrive%\Documents and Settings\All Users\「开始」菜单\程序\启动\ 。
  (2)打开注册表编辑器删除以下注册表键值:
  [HKLM\System\CurrentControlSet\Services]
  注册表值: "IIS Manager "
  类型: REG_SZ
  值: "c:\documents and settings\qiuniao\local settings\temp\1.tmp "
  [HKLM\System\CurrentControlSet\Services]
  注册表值: "extrem.sys"
  类型: REG_SZ
  值: " C:\DOCUME~1\qiuniao\LOCALS~1\Temp\extrem.sys "(找不到文件)
  [HKLM\System\CurrentControlSet\Services]
  注册表值: "rdtsc"
  类型: REG_SZ
  值: "C:\DOCUME~1\qiuniao\LOCALS~1\Temp\rdtsc"(找不到文件)
  3、删除病毒的衍生文件:
  %HomeDrive%\Documents and Settings\All Users\「开始」菜单\程序\启动\explorer.exe 10,920 字节
  %HomeDrive%\_uninsep.bat 文件大小与病毒文件名即路径有关

相关文章:
Trojan.DL.Win32.Agent.fnt是什么病毒

Trojan.DL.Win32.Agent.aah 14. WINDOWS下的PE 病毒 Trojan.DL.Win32.Agent.aah 15. WINDOWS下的PE 病毒 TrojanTrojan.DL.Win32.Agent.aao 你好: Trojan.DL.Win32.Agent...

来自:问答 - 最后更新于:2009-05-13

怎么删除木马trojan-downloader.win32.agent.axlb

法二 trojan-downloader 如何删除病毒trojan-downloader: 木马程序 Trojan-Downloader.Win32.Agent.bbb 文件: C: 木马程序 Trojan-Downloader.Win32.Agent.bbb 文件: C 木马程序 Trojan-Downloader.Win32.Agent.bbb我的办...

来自:问答 - 最后更新于:2009-06-18

木马trojan-downloader.win32.agent.axlb

法二 trojan-downloader 如何删除病毒trojan-downloader: 木马程序 Trojan-Downloader.Win32.Agent.bbb 文件: C: 木马程序 Trojan-Downloader.Win32.Agent.bbb 文件: C 木马程序 Trojan-Downloader.Win32.Agent.bbb我的办...

来自:问答 - 最后更新于:2009-06-18

trojan dropper.win32.agent.asso病毒怎么删除啊?着急

重了一个trojan dropper.win32.agent.asso,卡巴斯杀掉了。 知道WIN pe不?去网上...

来自:问答 - 最后更新于:2009-04-05

探测到: 木马程序 Trojan-Downloader.Win32.Agent.alji怎么杀啊

: 木马程序 Trojan-Downloader.Win32.Agent.alji 文件: C)至此,可恨的Trojan-Downloader.Win32.QQHelper.mo被...

来自:问答 - 最后更新于:2009-05-27

说是中了advare win.32 fake 病毒

鼠标一按右键就出现system什么的,接着就提示有病毒,用瑞星杀了,下次再按右键还是一样。左键好使。说是中了advare win.32 fake 病毒,扫描也扫不出来,怎么办啊!...

来自:问答 - 最后更新于:2009-04-14

利用Win 32 API创建一个静态控件,要在上面显示一张BMP图片

个问题 利用Win 32 API创建一个...

来自:社区 - 最后更新于:2010-06-22

Win 98系统启动过程全揭密(三) Win 98 启动过程 揭密

10月号。 七、Win.COM Win.COM是Windows的GUI注册表中。Win 9X下Win 32保护模式文件的。 Win.INI提供了Win 16程序保证Win 16和Win 32相互协调,使Win 16明了Win 9X是一个Win 16和Win 32的混合系统,也揭示了Win在Windows下;在Win 98中,Win.INI、SYSTEM.INI、SYSTEM...

来自:学院 - 最后更新于:2002-10-02

Trojan.Downloader.Win32.Agent.craj

大侠 如仅是trojan.downloader,真不明白...

来自:群组 - 最后更新于:2009-12-04

关于 win 7 下安装Oracle

天研究了下win 7 系统。 安装看。 操作系统: win 7 旗舰版 数版本: Oracle 10g for win 32. 没有用oracle for也正常,看来win 7 的兼容性还是不错的。 win 7 上装的Oracle...

来自:社区 - 最后更新于:2010-06-13

本词条对我有帮助0

积木知识库中的词条内容仅供参考,如果您需要解决实际问题,建议您咨询相关领域专业人士

TOP
如果您认为本词条还需进一步完善,欢迎您也来参与编辑词条    让我们共同来完善IT领域的百科全书

网址导航成语大全积木 TinyMCE 服务邮箱: Gimoohr(#)gmail.com
Copyright © 2008 Gimoo.Net  京ICP备05050695号