3个回答
展开全部
Trojan-Dropper.Win32.Agent.bdo 病毒名称: Trojan-Dropper.Win32.Agent.bdo 中文名称: 下载者变种 病毒类型: 木马类 文件MD5: 85EC8DB377E6849DBDA9A1321C049AAA 公开范围: 完全公开 危害等级: 4 文件长度: 加壳后 83,456 字节,脱壳后120,832 字节 感染系统: Win9X以上系统 开发工具: Microsoft Visual C++ 6.0 加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 病毒描述: 该病毒运行后,衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。 从指定服务器下载大量病毒体,包含大量游戏盗号程序,以及 ARP欺骗程序。 行为分析: 1 、衍生下列副本与文件: %WinDir%\sclgntfys.dll %WinDir%\winamps.dll %WinDir%\SysSun1\Ghook.dll %WinDir%\SysSun1\svchost.exe %WinDir%\cmdbcs.exe %WinDir%\gv.dll %WinDir%\mppds.exe %WinDir%\javhavm.exe %WinDir%\msccrt.exe %WinDir%\shualai.exe %WinDir%\winform.exe %System32%\upnpsvc.exe %System32%\systemt.exe %System32%\systemm.exe %System32%\SMSSS.exe %System32%\servet.exe %System32%\MSTCS.exe %System32%\alg32.exe %System32%\8.exe %System32%\system\.setupq\*.* %System32%\system\sysbacks\*.* %Documents and settings%\ 当前用户名 \local settings\temp\*.* …………… 2 、新建注册表键值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdfmgr\Description Value: String: " 启用 windows 用户模式驱动程序。 " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdfmgr\DisplayName Value: String: "Windows User Mode Driver" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UMWdfmgr\ImagePath Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes rundll32.exe C:\WINDOWS\winamps. dll _start@16. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\msupdate Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ Winlogon\Notify\sclgntfys\DllName Value: String: "%\WINDOWS%\sclgntfys.dll HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\0c4 Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cmdbcs Value: String: "%WINDOWS%\cmdbcs.exe " HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cmdbs Value: String: "%WINDOWS%\cmds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\javhavm Value: String: "%WINDOWS%\javhavm.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run\KernelFaultcheck Value: String: "%WINDOWS%\system32\dumprep.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\mppds Value: String: "%WINDOWS%\mppds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\pxdnd Value: String: "%Documents and settings%\ 当前用户名 \ local settings\temp\win4.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\shualai Value: String: "%WINDOWS%\shualai.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\testrun Value: String: "%WINDOWS%\testexe.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\upxdndq Value: String: "%Documents and settings%\ 当前用户名 \ local settings\temp\upxdnd.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run\sun Value: String: "%WINDOWS%\syssun1\svchost.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run\wm Value: String: "%WINDOWS%\syswm7\svchost.exe" 3 、连接下列服务器 , 下载病毒体: Host:(2*8.6.1*5.1*)b*ol*m.com/up/win1.exe Host: t.g*u*.com(2*2.7*.15.9*)/0.exe Host: t.g*u*.com(2*2.7*.15.9*)/0/AVG.exe Host: t.g*u*.com(2*2.7*.15.9*)//0/SMSSS.exe Host:www.1*d*m.com(2*2.7*.15.3*)/xia/kehu0703.exe 4 、下载的病毒体 novel.exe 会发起 ARP 欺骗。 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。 -------------------------------------------------------------------------------- 清除方案: 1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线断开网络,结束病毒进程: IEXPLORE.EXE novel.exe upnpsvc.exe (2) 删除并恢复病毒添加与修改的注册表键值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\UMWdfmgr\Description Value: String: " 启用 windows 用户模式驱动程序。 " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\UMWdfmgr\DisplayName Value: String: "Windows User Mode Driver" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\UMWdfmgr\ImagePath Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes rundll32.exe C:\WINDOWS\winamps. dll _start@16. HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\msupdate Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\Winlogon\Notify\sclgntfys\DllName Value: String: "%\WINDOWS%\sclgntfys.dll HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\0c4 Value: String: "%WINDOWS%\AntiAdwa.exe other" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\cmdbcs Value: String: "%WINDOWS%\cmdbcs.exe " HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\cmdbs Value: String: "%WINDOWS%\cmds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\javhavm Value: String: "%WINDOWS%\javhavm.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\KernelFaultcheck Value: String: "%WINDOWS%\system32\dumprep.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\mppds Value: String: "%WINDOWS%\mppds.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\pxdnd Value: String: "%Documents and settings%\ 当前用户 \ localsettings\temp\win4.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\shualai Value: String: "%WINDOWS%\shualai.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\testrun Value: String: "%WINDOWS%\testexe.exer" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\upxdndq Value: String: "%Documents and settings%\ 当前用户名 \local settings\temp\upxdnd.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\Run\sun Value: String: "%WINDOWS%\syssun1\svchost.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\Run\wm Value: String: "%WINDOWS%\syswm7\svchost.exe" (3) 删除病毒释放文件: %WinDir%\sclgntfys.dll %WinDir%\winamps.dll %WinDir%\SysSun1\Ghook.dll %WinDir%\SysSun1\svchost.exe %WinDir%\cmdbcs.exe %WinDir%\gv.dll %WinDir%\mppds.exe %WinDir%\javhavm.exe %WinDir%\msccrt.exe %WinDir%\rising390.exe %WinDir%\shualai.exe %WinDir%\winform.exe %System32%\upnpsvc.exe %System32%\systemt.exe %System32%\systemm.exe %System32%\SMSSS.exe %System32%\servet.exe %System32%\MSTCS.exe %System32%\alg32.exe %System32%\8.exe %WINDOWS%\syssun1\*.* %System32%\syswm7\*.* %System32%\system\.setupq\*.* %System32%\system\sysbacks\*.* %Documents and settings%\ 当前用户名 \ local settings\temp\*.* ……………
展开全部
病毒的命名解释 1.木马病毒 木马病毒的前缀是:Trojan。木马病毒的特点就是通过网络或者系统漏洞进入用户的系统并隐藏,然后再向外界泄露用户的信息。一般的木马如QQ消息尾巴Trojan.QQPSW.r,网络游戏木马病毒Trojan.StartPage.FH等。病毒名中有PSW或者什么PWD之类的是表示这个病毒有盗取密码的功能,所有这类病毒特别需要注意。 木马病毒专杀工具 远程控制的木马有:冰河(国人的骄傲,中国第一款木马),灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多, 反木马病毒:http://www.duote.com/soft/10999.html 木马专杀工具:http://www.duote.com/soft/11492.html 木马防线 :http://www.duote.com/soft/13783.html 木马分析专家个人防火墙 Build 2009 06.29 :http://www.duote.com/search.php?searchType=&so=%C4%BE%C2%ED%B7%D6%CE%F6%D7%A8%BC%D2+2005+V6.57&x=19&y=8 木马克星(iparmor) 2009 Build 0632 :http://www.duote.com/soft/2921.html U盘病毒专杀工具(USBCleaner) V6.0 Build 20090616 :http://www.duote.com/soft/10050.html 木马清除专家 2009 V0707 :http://www.duote.com/soft/7207.html 木马专家 2009 V0701 免费版 :http://www.duote.com/soft/13555.html Windows木马清道夫 2009 V11.5 build 0703 上网必备版:http://www.duote.com/soft/2955.html 木马分析专家个人防火墙 Build 2009 06.29 :http://www.duote.com/search.php?searchType=&so=%C4%BE%C2%ED%B7%D6%CE%F6%D7%A8%BC%D2%B8%F6%C8%CB%B7%C0%BB%F0%C7%BD&x=19&y=15 查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,其中有些工具,如果想使用全部功能,需要付一定的费用,木马分析专家是免费授权使用。 病毒 安装适合的防病毒软件 代码炸 注意数据备份,不运行来历不明的软件 特洛伊木马 不访问不良网站,小心下载软件 最後,給點木馬信息資料:1、什么是木马 2、驻留在目标计算机里 3、随计算机自动启动并在某一端口进行侦听 4、对目标计算机执行特定操作 _黎[先笙]!?原創
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐于2016-08-31 · 知道合伙人软件行家
关注
展开全部
Trojan-Dropper.Win32.Agent.ayta.rgrk这是一个特洛依木马变种程序。会伪装成一个常用软件,窃取用户信息。
查杀:腾讯电脑管家,卡巴斯基等主流杀毒软件都可以进行查杀。
防护:开启杀毒软件的主动防护,在病毒扩散之前会提前对此类病毒进行隔离。
查杀病毒之前应将安全软件更新到最新版本,并且更新杀毒软件的病毒库
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询