Trojan-PSW.Win32.Agent.jp病毒分析解决教程_电脑软硬件应用网

首页·电脑学院·电脑故障·操作系统·硬件教程·局域网技术·QQ技巧·网络安全·办公软件· 数据库

导航·设计学院·图像处理·网页设计·软件教程·服务器技术·笔记本·专家装机·网络编程·在线问答

当前位置：电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文

[组图]Trojan-PSW.Win32.Agent.jp病毒分析解决教程

Trojan-PSW.Win32.Agent.jp病毒分析解决教程

2007-1-4 9:52:52　　文/未知　　出处:安天实验室　　

病毒标签：
	病毒名称：Trojan-PSW.Win32.Agent.jp 中文名称：黄金甲病毒类型：木马类文件 MD5： 7DF30EB3B47CEE0FBD1E85B6E1248611 公开范围：完全公开危害等级：中等文件长度：31,052 字节感染系统： Win98以上系统开发工具： Microsoft Visual C++ 6.0
病毒描述：
	继电影《黄金甲》热播后，一款图标主题为金甲小人的病毒正肆虐广大用户，传播速度极为迅速。该病毒实为一款盗游戏帐号的木马。该病毒运行后，衍生病毒副本与文件到IE临时目录下，添加注册表自动运行项以随机引导病毒体。病毒会从指定服务器下载盗号程序。

行为分析：

1、可能衍生下列副本与文件

%Documents and Settings%\当前用户名\Local Settings\Temp\mh1\iexpl0re.EXE
%Documents and Settings%\当前用户名\Local Settings\Temp\mh2\iexpl0re.EXE
%Documents and Settings%\当前用户名\Local Settings\Temp\Wl2\lexplore.exe
%Documents and Settings%\当前用户名\Local Settings\Temp\Zt2\SVCH0ST.exe
%Documents and Settings%\当前用户名\Local Settings\Temp\Mhgx.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\Mhgl.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\Mhgy.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\Wlgx.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\ZtgL.dll
%Documents and Settings%\当前用户名\Local Settings\Temp\ZtgQ.dll

2、可能新建注册表键值：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\myMH1
键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh1\iexpl0re.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\myMH2
键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh2\iexpl0re.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\myW12
键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh2\lexplore.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\myZt2
键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh2\svch0st.exe"

3、连接下列网页：

http://www.bpfq02.com/dl/sb146.html
http://www.bpfq02.com /dl/rb.html
www.bpfq02.com(72.232.68.50)

4、病毒图标可能为下列之一：

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 打开“我的电脑”找到“工具”选项进行如下设置，打开查看隐藏文件选项：

(2) 使用安天木马防线“进程管理”关闭病毒进程

lexplore.exe
iexplo0re.EXE
SVCH0ST.EXE

(3) 删除病毒释放文件

%Documents and Settings%\当前用户名\Local Settings
\Temp\mh1\iexpl0re.EXE
%Documents and Settings%\当前用户名\Local Settings
\Temp\mh2\iexpl0re.EXE
%Documents and Settings%\当前用户名\Local Settings
\Temp\Wl2\lexplore.exe
%Documents and Settings%\当前用户名\Local Settings
\Temp\Zt2\SVCH0ST.exe
%Documents and Settings%\当前用户名\Local Settings
\Temp\Mhgx.dll
%Documents and Settings%\当前用户名\Local Settings
\Temp\Mhgl.dll
%Documents and Settings%\当前用户名\Local Settings
\Temp\Mhgy.dll
%Documents and Settings%\当前用户名\Local Settings
\Temp\Wlgx.dll
%Documents and Settings%\当前用户名\Local Settings
\Temp\ZtgL.dll
%Documents and Settings%\当前用户名\Local Settings
\Temp\ZtgQ.dll

(4) 恢复可能被病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\myMH1键值: 字符串: " %Documents
and Settings%\当前用户名\Local Settings\Temp\mh1\iexpl0re.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\myMH2键值: 字符串: " %Documents
and Settings%\当前用户名\Local Settings\Temp\mh2\iexpl0re.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\myW12键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh2\lexplore.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run\myZt2键值: 字符串: " %Documents and Settings%\当前用户名\Local Settings\Temp\mh2\svch0st.exe"

上一篇文章： Backdoor.Win32.Delf.auu病毒分析解决教程

下一篇文章： Backdoor.Win32.Hupigon.apu病毒的分析解决

最新热点		最新推荐		相关文章
				删不掉的"淘宝图标"来侵教你删"淘宝… 微软高危漏洞"快捷方式自动执行"手工… acad.vlx删除方法 360se.exe病毒清除解决方案 regedit32.exe 病毒清除解决方案 3874jr98.exe,long.exe等病毒清除解… RG8.tmp病毒清除解决方案 139ujf939.exe,2.exe等病毒清除解决… EntSoQn.exe病毒清除解决方案 360safess.net.exe等病毒清除解决方…