Board logo

标题: 木马程序 Trojan.Win32.Agent.hvf [打印本页]
作者: pioneer     时间: 2007-10-8 17:41    标题: 木马程序 Trojan.Win32.Agent.hvf

病毒名称

Trojan.Win32.Agent.hvf

捕获时间

2007-10-08

病毒症状

      该病毒是一个使用DELPHI编写的木马程序,长度为26,112 字节,图标为windows默认可执行文件图标,病毒扩展名为exe,传播途径主要为网页挂马、文件捆绑、移动储存。

病毒分析

      该木马程序激活后,在%SystemRoot%\system32下生成svch0st.exe文件;修改系统时间,试图使部分杀毒软件过期失效;添加注册表启动项,使其随系统一起启动;试图通过修改注册表的方法修改IE主页;关闭WINDOWS自动更新;试图修改explorer相关注册表项使用户无法查看系统隐藏文件;检测逻辑驱动器类型,在可移动存储介质中释放病毒文件niu.EXE以及autorun.inf;在后台开启IE下载多种病毒木马;启动一个定时器,每5秒病毒自动运行一次。


病毒注册表启动项:

项:HKLM \SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值:svchost
指向文件:%SystemRoot%\system32\svch0st.exe

修改的注册表项

项:HKLM\ software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
键值:CheckedValue
项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate
键值:DisableWindowsUpdateAccess
数值数据:00000001

下载的文件地址:

http://www.*****.cn/mm/1.exe,2.exe,3.exe,4.exe

感染对象

Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003

传播途径

网页挂马,文件捆绑,移动储存

安全提示

      已安装微点主动防御软件的用户,无论您是否已经升级到最新版本,微点主动防御都能够有效防御该木马程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理(如图1);




                        图1

      如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现“Trojan.Win32.Agent.hvf”,请直接选择删除(如图2)。




                        图2

      使用其它杀毒软件的用户,请尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该病毒的特殊性,会使得某些杀毒软件无法正常运行,如果您的杀毒软件已经无法正常运行,您也可以尝试安装微点解决。

      没有安装微点主动防御软件的用户,建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn