微点交流论坛

标题: 木马程序 Trojan-Dropper.Win32.Agent.ejp [打印本页]

作者: pioneer 时间: 2007-10-13 17:27 标题: 木马程序 Trojan-Dropper.Win32.Agent.ejp

病毒名称

Trojan-Dropper.Win32.Agent.ejp

捕获时间

2007-10-13

病毒症状

   该病毒是一个使用Delphi编写的木马程序，长度为105,909字节，图标为知名软件eMule的驴子图标，病毒扩展名为exe

病毒分析

   该木马程序激活后，在病毒目录下生成1_.ii文件，在%SystemRoot%\system目录下生成logogo.exe文件，将文件属性设置为系统和隐藏；修改注册表项使病毒随系统启动；强行关闭“我的电脑”窗口；在硬盘分区中释放隐藏文件setup.exe和autorun.inf，在移动存储介质中释放隐藏文件tool.exe和autorun.inf，试图利用Windows自动播放功能进行感染传播；添加和修改注册表项，将系统中所有盘符添加到IE地址栏中，当用户误操作时就会触发病毒；在后台开启IEXPLORE.EXE和notepad.exe进程，将自身注入到其进程中以逃避防火墙的阻拦；每隔一分钟在后台开启一个IE访问有害页面；搜集各个分区中的可执行程序(.exe)相关信息，汇总到％systemroot%\win.log文件中。

病毒注册表启动项：

项：HKLM \SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
键值：logogo
指向文件：logogo.exe

项：HKCU \SOFTWARE\Microsoft\Internet Explorer\TypedURLs
键值：Url1
指向文件：H:

autorun.inf文件内容如下：

[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\打开(&O)\command=setup.exe

autorun.inf文件内容如下：

[autorun]
Open=tool.exe
Shellexecute=tool.exe
Shell\0\command = tool.exe
Shell\0= 打开

感染对象

Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003

传播途径

文件捆绑、网页挂马

安全提示

   已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该木马程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍”，请直接选择删除处理（如图1）；

                              图1

   如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Trojan-Dropper.Win32.Agent.ejp”，请直接选择删除（如图2）。

                              图2

   使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

   没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn