Board logo

标题: 蠕虫 Worm.Win32.Agent.dif [打印本页]
作者: pioneer     时间: 2007-7-28 17:34    标题: 蠕虫 Worm.Win32.Agent.dif

病毒名称

Worm.Win32.Agent.dif

捕获时间

2007年7月27日

病毒症状

病毒分析  

     病毒采用VB语言编写,发作后会写入注册表添加启动项,复制自身副本文件为SERVICES.EXE到%systemroot%\system32\drivers目录下,执行后释放WINLOGON.EXE病毒主程序遍历所有分区释放autorun.inf文件,并拷贝重命名SERVICES.EXE为setup.exe到每个分区下设置属性为隐藏,如果SERVICES.EXE不存在,则执行shutdown命令进行关机。如果拷贝成功,则每个盘符下的setup.exe被autorun.inf文件激活后都会遍历其根目录,获得所有目录名以及文件名作为病毒副本的名称(包括系统启动文件),替换非系统文件为病毒体本身(直接替换,造成数据恢复不可用);病毒试图通过以修改注册表的方法禁用任务管理器、注册表编辑器、CMD,破坏隐藏文件显示;试图修改注册表打开自动播放功能;病毒运行成功后会在释放病毒副本的目录下留下SYSTEM.INI文件,里面记录着病毒释放的时间。

病毒启动

注册表启动:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
键值为load中WINLOGON.EXE的启动路径

inf文件启动:
每个盘符下生成autorun.inf文件
发作现象:

当病毒发作后会造成许多与文件夹名字相同的病毒文件,图标为熊猫烧香的图标,所有非系统目录下的多种格式文件变为熊猫烧香图标,系统运行缓慢。


感染对象

Windows NT/Windows 2000/ Windows XP/ Windows 2003

传播途径

可移动存储

安全提示

      已安装微点主动防御软件的客户,无论您是否已经升级到最新版本,微点主动防御都能够有效防御该蠕虫程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理;如果您已经将微点主动防御软件升级到最新版本,将报警提示您发现Worm.Win32.Agent.dif”,请直接选择删除。

      使用其它杀毒软件的用户,请尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
      
      没有安装微点主动防御软件的用户,建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。

[ Last edited by pioneer on 2007-7-30 at 09:19 ]



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn