» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » 木马程序 Trojan-Dropper.Win32.Agent.ejp   作者: 标题: 木马程序 Trojan-Dropper.Win32.Agent.ejp pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  木马程序 Trojan-Dropper.Win32.Agent.ejp 病毒名称 Trojan-Dropper.Win32.Agent.ejp 捕获时间 2007-10-13 病毒症状       该病毒是一个使用Delphi编写的木马程序，长度为105,909字节，图标为知名软件eMule的驴子图标，病毒扩展名为exe 病毒分析       该木马程序激活后，在病毒目录下生成1_.ii文件，在%SystemRoot%\system目录下生成logogo.exe文件，将文件属性设置为系统和隐藏；修改注册表项使病毒随系统启动；强行关闭“我的电脑”窗口；在硬盘分区中释放隐藏文件setup.exe和autorun.inf，在移动存储介质中释放隐藏文件tool.exe和autorun.inf，试图利用Windows自动播放功能进行感染传播；添加和修改注册表项，将系统中所有盘符添加到IE地址栏中，当用户误操作时就会触发病毒；在后台开启IEXPLORE.EXE和notepad.exe进程，将自身注入到其进程中以逃避防火墙的阻拦；每隔一分钟在后台开启一个IE访问有害页面；搜集各个分区中的可执行程序(.exe)相关信息，汇总到％systemroot%\win.log文件中。 病毒注册表启动项： 项：HKLM \SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 键值：logogo 指向文件：logogo.exe 项：HKCU \SOFTWARE\Microsoft\Internet Explorer\TypedURLs 键值：Url1 指向文件：H: autorun.inf文件内容如下： [AutoRun] OPEN=setup.exe shellexecute=setup.exe shell\打开(&O)\command=setup.exe autorun.inf文件内容如下： [autorun] Open=tool.exe Shellexecute=tool.exe Shell\0\command = tool.exe Shell\0= 打开 感染对象 Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003 传播途径 文件捆绑、网页挂马 安全提示       已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该木马程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍”，请直接选择删除处理（如图1）；                                 图1              如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Trojan-Dropper.Win32.Agent.ejp”，请直接选择删除（如图2）。                                  图2       使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。       没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-10-13 17:27 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号