Trojan-DOWNlOADER.Win32.Anent.banu是什么病毒?
发布网友
发布时间:2024-01-07 19:21
共2个回答
热心网友
时间:2024-11-23 03:45
清除方法如下:- 开机-----按F8键------进入“安全模式”下去启动 360安全卫士软件和 360专杀大全查杀、
机器狗木马专杀工具、360顽固木马专杀大全:
病毒资料:W32/Agent.D!tr
基本信息
病毒名称: W32/Agent.D!tr 类型: 木马 长度: 8192 威胁级别: 2 捕获日期: 2006-03-13
其它别名: Trojan-Downloader.Win32.Agent.agi,Troj/Sickbt-D,TROJ_AGENT.BKE 影响系统: Windows 9X,Windows 2K,Windows XP
表现特征
1、系统目录 %SYSTEM% 下存在文件 sysldr.dll;
2、若系统为 Windows NT(包括 NT/2K/XP 等),会弹出一个命令行窗口,窗口标题为 %SYSTEM%\svchost.exe;
3、如果安装有防火墙,可能会提示进程 explorer.exe 试图访问外部网络;
行为分析
1、这是一个 PE 病毒,病毒文件使用 UPX 加壳,加壳后大小为 8,192 字节;
2、释放出文件 %SYSTEM%\sysldr.dll,这是一个恶意程序,Fortinet 命名为 W32/Sickbt.D!tr,
它从下列网址下载程序并执行:
http://www.servicedwt.com/images/backgroung/de/stat.php
http://idex.colocall.com/pressa/stat.php
http://contentquick.com/admin/stat.php
http://www.making-money-on-the-internet-is-easy.com/backup/stat.php
http://www.articlelookup.com/
3、创建下列注册表项:
HKLM\SOFTWARE\Classes\CLSID\{RANDOM CLSID}
HKLM\SOFTWARE\Classes\CLSID\{RANDOM CLSID}\InprocServer32
"(Default)" = "sysldr.dll"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
"sysldr" = "{RANDOM CLSID}"
使系统启动时该组件随 Explorer 而加载;
4、将自身拷贝为 %SYSTEM%\[ORIGINAL FILE NAME OF TROJAN];
5、在注册表路径:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下创建自启动项:
"sysldr" = "%SYSTEM%\[ORIGINAL FILE NAME OF TROJAN]";
6、创建进程 svchost.exe,将病毒进程注入 svchost.exe,执行如下操作:
a)、删除病毒文件;
b)、加载病毒释放出的动态链接库文件 sysldr.dll;
清除方法
1、删除病毒文件,若无法删除,则进入安全模式;
2、删除病毒添加的注册表项;
3、由于该病毒会下载其它程序运行,建议使用杀毒软件彻底扫描整个系统;
防范措施
1、安装防火墙软件,禁止不明程序访问外部网络;
2、经常更新FortiGate防火墙的病毒特征库,必要时允许服务器推送式升级;
参考资料:http://www.lion.my/lion-heraldry/Lion-Passant-Gallery-1.htm
热心网友
时间:2024-11-23 03:45
