pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#1 恶意程序 Malware.Win32.Agent.g
病毒名称
Malware.Win32.Agent.g
捕获时间
2007年8月3日
病毒症状
该恶意程序运行后遍历所有盘符释放autorun.inf和svchost.exe文件到每个分区的根目录下,试图通过Windows自动播放功能传播,即使使用右键菜单“打开”“资源管理器”等命令也会触发该恶意程序运行;
该恶意程序会严重干扰用户操作:
修改windows主题设置,使得当前窗口和鼠标菜单中所属内容全部变为黑色,因用户在全黑色窗口中完全无法正常操作,从而间接使得部分安全工具失效;
恶意掉换鼠标左右健的功能;
将自身程序复制三份到Program Files目录下,命名为regedit.exe、cmd.exe、winlogon.exe,利用微软系统在环境变量复用的bug使得在运行cmd.exe、regedit.exe的时候会优先运行该恶意程序,因winlogon.exe直接由系统内核system加载,使得病毒的阴谋未能得逞;
该恶意程序通过net user命令,强行将Windows管理员Administrator的用户密码改为七位大写英文字母(不包括引号):“FREEDOM”,如果重启后发现无法登陆系统的用户,请尝试使用该密码进行登陆。
感染对象
Windows NT/Windows 2000/ Windows XP/ Windows 2003
传播途径
可移动存储
安全提示
已安装微点主动防御软件的用户,无论您是否已经升级到最新版本,微点主动防御都能够有效防御该盗号木马程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理;如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现“Malware.Win32.Agent.g”,请直接选择删除。
使用其它杀毒软件的用户,请尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
如果您的计算机重启后输入原有密码无法正常登陆Windows,请您尝试使用七位大写英文字母(不包括引号):“FREEDOM”,作为密码进行登录,并建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。
[ Last edited by pioneer on 2007-8-3 at 13:57 ]
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
