标题:
木马程序 Trojan-Downloader.Win32.Agent.lba
[打印本页]
作者:
pioneer
时间:
2007-10-2 08:15
标题:
木马程序 Trojan-Downloader.Win32.Agent.lba
病毒名称
Trojan-Downloader.Win32.Agent.lba
捕获时间
2007-10-1
病毒症状
该病毒是一个使用DELPHI编写的木马程序,长度为25,182字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,传播途径主要网页挂马,文件捆绑,移动存储。
病毒分析
该木马程序激活后,在C:\Program Files\Common Files的System和 Microsoft Shared目录下分别生成名为CIVOABS.EXE和JUYPLQK.EXE的文件,其文件类型为隐藏的系统文件;修改注册表将CIVOABS.EXE和JUYPLQK.EXE设为自启动项,使病毒能随系统启动而运行;修改注册表关闭自动更新,安全中心等多个WINDOWS服务;在HKLM下的Image File Execution Options项中新建多个项,映像劫持各种杀毒软件和安全工具,使其不能运行;删除HKLM下的SafeBoot中的相关项使得用户无法进入系统的安全模式;修改explorer相关注册表项不显示隐藏文件,使用户无法查找病毒文件;修改注册表开启系统可移动设备的自动播放功能;遍历D-Z盘,在各个盘符下生成autorun.inf和vgjeuyj.exe文件;强行关闭所有窗体名中含“木马”、“病毒”、“Virus”、“Trojan”、“Sysinternal”等字段的窗体;从网络下载木马配置文件,根据配置文件信息下载多种木马和间谍程序。
病毒增加的注册表项:
项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值:brgknyg
指向文件:C:\Program Files\Common Files\System\civoabs.exe
项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值:vgjeuyj
指向文件:C:\Program Files\Common Files\Microsoft Shared\juyplqk.exe
病毒修改的注册表项:
项:HKLM\ software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
键值:CheckedValue
数值数据:0
项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
键值:NoDriveTypeAutoRun
数值数据:0
病毒删除的注册表项:
项:HKLM\ SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
项:HKLM\ SYSTEM\ControlSet001\Control\SafeBoot\ Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
项:HKLM\ SYSTEM\ CurrentControlSet\Control\SafeBoot\ Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}
项:HKLM\ SYSTEM\ CurrentControlSet\Control\SafeBoot\ Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}
映像劫持:
项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Avp.exe
被映像劫持的程序还有:
Ras.exe
avp.com
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Navapw32.exe
avconsol.exe
webscanx.exe
NPFMntor.exe
vsstat.exe
KPfwSvc.exe
RavTask.exe
Rav.exe
RavMon.exe
mmsk.exe
WoptiClean.exe
QQKav.exe
QQDoctor.exe
EGHOST.exe
iparmo.exe
adam.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KvDetect.exe
KVMonXP.kxp
kvol.exe
kvolself.exe
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
KvXP.kxp
KWatch.exe
KWatchX.exe
MagicSet.exe
mmqczj.exe
PFWLiveUpdate.exe
RavMonD.exe
RegClean.exe
RfwMain.exe
RsAgent.exe
safelive.exe
shcfg32.exe
SREng.EXE
symlcsvc.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxFwHlp.exe
UmxPol.exe
upiea.exe
ArSwp.exe
USBCleaner.exe
rstrui.exe
QQLiveUpdate.exe
QQ
UpdateCenter.exe
Autorun.inf文件内容如下:
[AutoRun]
open=vgjeuyj.exe
shell\open=打开(&O)
shell\open\Command=vgjeuyj.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=vgjeuyj.exe
感染对象
Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003
传播途径
网页挂马,文件捆绑,移动存储
安全提示
已安装微点主动防御软件的用户,无论您是否已经升级到最新版本,微点主动防御都能够有效防御该木马程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理(如图1);
图1
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现Trojan-Downloader.Win32.Agent.lba”,请直接选择删除(如图2)。
图2
使用其它杀毒软件的用户,请尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该病毒的特殊性,会使得某些杀毒软件无法正常运行,如果您的杀毒软件已经无法正常运行,您也可以尝试安装微点解决。
没有安装微点主动防御软件的用户,建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
