Win32.Trojan.Agent.bgcq是什么木马?解决途径是什么
2个回答
展开全部
病毒名称:增强版“特工”木马变种(Trojan-Dropper.Win32.Agent.ayqa)
病毒类型:木马
影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista
病毒表现:
增强版“特工”木马变种一般通过网页挂马或下载器下载等途径感染用户计算机。一旦感染,它会在用户计算机释放以下文件:
%systemroot%\Fonts\qP2N8HTHkmGRq5.Ttf %system%\Rwad8sdv4e7V8xpKZ.dll
删除文件: %system%\verclsid.exe
并且创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E}\InprocServer32 @"C:\WINDOWS\system32\Rwad8sdv4e7V8xpKZ.dll" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E}\InprocServer32 ThreadingModel "Apartment" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell ExecuteHooks {F1455861-8C40-4095-ABD8-7BEAE5ADF92E}
首先,木马会创建线程释放Rwad8sdv4e7V8xpKZ.dll并调用其导出的JUFndB4pARSJ函数获得调试权限,这个导出函数还会创建线程建立一个死循环,在死循环中每隔两秒删除%system%\verclsid.exe文件并创建木马注册表项。之后此木马会创建ShellExecuteHooks启动项,使得Rwad8sdv4e7V8xpKZ.dll可以随explorer进程一同加载。,然后搜索并关闭网游进程。
释放的DLL运行后会检查宿主进程是否是某些安全软件或网络游戏,如果是则退出进程。之后通过消息钩子、游戏数据包拦截等方式获取大话西游2等网络游戏的账号密码。此外此木马DLL还会将用户用ACDSee、图片和传真以及记事本打开的图片或文本文件的内容截取并发送,窃取用户个人信息。
您可以用杀毒软件查杀。如金山,360,nod
病毒类型:木马
影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista
病毒表现:
增强版“特工”木马变种一般通过网页挂马或下载器下载等途径感染用户计算机。一旦感染,它会在用户计算机释放以下文件:
%systemroot%\Fonts\qP2N8HTHkmGRq5.Ttf %system%\Rwad8sdv4e7V8xpKZ.dll
删除文件: %system%\verclsid.exe
并且创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E}\InprocServer32 @"C:\WINDOWS\system32\Rwad8sdv4e7V8xpKZ.dll" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E}\InprocServer32 ThreadingModel "Apartment" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell ExecuteHooks {F1455861-8C40-4095-ABD8-7BEAE5ADF92E}
首先,木马会创建线程释放Rwad8sdv4e7V8xpKZ.dll并调用其导出的JUFndB4pARSJ函数获得调试权限,这个导出函数还会创建线程建立一个死循环,在死循环中每隔两秒删除%system%\verclsid.exe文件并创建木马注册表项。之后此木马会创建ShellExecuteHooks启动项,使得Rwad8sdv4e7V8xpKZ.dll可以随explorer进程一同加载。,然后搜索并关闭网游进程。
释放的DLL运行后会检查宿主进程是否是某些安全软件或网络游戏,如果是则退出进程。之后通过消息钩子、游戏数据包拦截等方式获取大话西游2等网络游戏的账号密码。此外此木马DLL还会将用户用ACDSee、图片和传真以及记事本打开的图片或文本文件的内容截取并发送,窃取用户个人信息。
您可以用杀毒软件查杀。如金山,360,nod
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
镭速传输
2024-10-28 广告
作为深圳市云语科技有限公司的一员,我们推出的FTP替代升级方案,旨在解决传统FTP在安全性、效率、稳定性及管理方面的不足。我们的产品通过采用自主研发的Raysync传输协议,实现高效、安全的文件传输,即使在恶劣网络环境下也能确保传输的稳定性...
点击进入详情页
本回答由镭速传输提供
展开全部
类似于盗号木马,用金山毒霸查杀
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
