|
|
|||||||||||
|
|||||||||||||
| 当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
| Trojan-Downloader.Win32.Agent.kid手动清除方法 | |||
| 2006-9-2 8:04:06 文/佚名 出处:电脑软硬件应用网 | |||
|
病毒描述: 该病毒属木马类。病毒运行后在%\System32\%释放病毒副本msq.exe,之后修改注册表文件,添加启动项,并添加一项计划任务,以达到开机启动和定时安装病毒文件的目的。而后尝试连接网址为h**p://www.qi***.com的网站,下载一个名为 1013421.exe的文件,到本机运行安装。之后自动下载安装“中文上网”流氓软件,释放大量垃圾文件。并插入IE线程,当IE运行时,会自动运行本地的cdnup.exe连接网络。该病毒对用户有一定的危害。 行为分析: 1、该病毒运行后在系统目录释放病毒副本 %\system32\%msq..exe 314,880 字节 Trojan-Downloader.Win32.Agent.kid %\system32\%1013421.exe 93,696 字节 %\system32\%iexplorer.exe 93,696 字节 %\system32\%IE_Bar.exe 33,792 字节 2、新建注册表项: HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run\msq 值: 字符串: "%\System32\%iexplorer.exe" HKEY_CURRENT_USER\Software\msq\ HKEY_CURRENT_USER\Software\msq\http://www.qimop.com /download/file/1013421.exe HKEY_LOCAL_MACHINE\SOFTWARE\dmshareware\ HKEY_LOCAL_MACHINE\SOFTWARE\dmshareware\Owner HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services \SharedAccess\Parameters\FirewallPolicy\StandardProfile \AuthorizedApplications\List\C:\WINNT\System32\IE_Bar.exe 值: 字符串: "%\System32\%IE_Bar.exe:*:Enabled:DM"串: "101342" 3、病毒运行后会尝试连接下列网址: h**p://www.qi***.com Local:1050 => 61.151.253.209:80 Local:1043 => 60.195.253.79:80 Local:1046 => 60.195.253.78:80 Local:1047 => 60.195.253.79:80 Local:1040 => 61.233.41.234:80 4、病毒会添加如下计划任务: DM_Install_Program.job%\system32\%ie_bar.exe 注: % System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\ Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。 清除方案 : 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。//本文来自电脑软硬件应用网www.45its.com转载请注明 (1) 使用安天木马防线“进程管理”关闭病毒进程 与病毒名称同名进程. (2) 删除病毒文件 %\system32\%msq..exe314,880 字节 %\system32\%1013421.exe 93,696 字节 %\system32\%iexplorer.exe93,696 字节 %\system32\%IE_Bar.exe33,792 字节 (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run\msq 值: 字符串: "%\System32\%iexplorer.exe" HKEY_CURRENT_USER\Software\msq\ HKEY_CURRENT_USER\Software\msq\http: //www.qimop.com /download/file/1013421.exe 值: 字符串: "" HKEY_LOCAL_MACHINE\SOFTWARE\dmshareware\ HKEY_LOCAL_MACHINE\SOFTWARE\dmshareware\Owner HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Services\SharedAccess\Parameters\FirewallPolicy \StandardProfile\AuthorizedApplications \List\%\System32\%IE_Bar.exe 值: 字符串: "%\System32\%IE_Bar.exe:*:Enabled:DM"串: "101342"//本文来自电脑软硬件应用网www.45its.com转载请注明 |
|||
| 关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
|
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |
