东方微点-yb体育官方

  yb体育官方  
yb体育官方-yb亚博全站首页  |  微点新闻  |  业界动态  |  安全资讯  |   |   |  网络版yb亚博全站首页
 |   |   |   |   |   |  各地代理商
 

木马程序trojan.win32.agent.d

木马程序

trojan.win32.agent.d

捕获时间

2010-8-13

危害等级



病毒症状

  该样本是使用“vc”编写的下载者程序,由微点主动防御软件自动捕获,长度为“ 42,068 字节”,图标为“”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”,“网页挂马”等方式传播,病毒主要目的为下载病毒木马,用户中毒后,会出现计算机运行缓慢,未知进程的运行现象。

感染对象

windows 2000/windows xp/windows 2003/windows vista/ windows 7

传播途径

文件捆绑、网页挂马、下载器下载、可移动存储器感染、局域网感染

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1)


图1 微点主动防御软件自动捕获未知病毒(未升级)



如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现木马"trojan.win32.agent.d”,请直接选择删除(如图2)。


图2   微点主动防御软件升级后截获已知病毒



未安装微点主动防御软件的手动解决办法:

手动删除以下文件:

1.删除 %programfiles%\ati目录
2.删除 %temp% \310data.tmp
3.删除 %temp%\updata.exe
4.删除 %temp% \3kavaa.idx
5.删除 %temp%\dogkiller.sys
6.删除 %systemroot%\system32\kav.exe
7.删除 %systemroot%\system32\drivers\amdk8.sys

手动删除以下注册表值:

1.删除 hkey_local_machine\system\currentcontrolset\services\amdk8

2.删除 hkey_local_machine\system\currentcontrolset\services\dogkiller

3.删除  hkey_local_machine\software\microsoft\windows\currentversion\run
数据:kav
值:c:\windows\system32\kav.exe

4.删除  hkey_local_machine\software\internets
名称:  directorypath
数据:  病毒路径

变量声明:

  %systemdriver%       系统所在分区,通常为“c:\”
  %systemroot%        windodws所在目录,通常为“c:\windows”
  %documents and settings%  用户文档目录,通常为“c:\documents and settings”
  %temp%           临时文件夹,通常为“c:\documents and settings\当前用户名称\local settings\temp”
  %programfiles%       系统程序默认安装目录,通常为:“c:\programfiles

病毒分析

(1) 、创建互斥体名为“fkoutotu..”,防止多次运行。
(2) 、建立进程快照,查找“avp.exe”,“ravmond.exe”进程名,找到以后直接退出主程序。
(3) 、获得临时文件路径,创建%temp%\ 310data.tmp文件,提升访问权限,重置注册表然后自删除。
(4) 、先关闭 ip 安全策略以及启动 isakmp/oakley (ike) 和 ip 安全驱动程序。
(5) 、病毒释放%programfiles%\ati\amdk8.inf,%programfiles%\ati\amdk8.sys等文件,安装驱动并创建驱动服务,
修改注册表信息:hkey_local_machine\system\currentcontrolset\services\amdk8
名称:imagepath
数据:system32\drivers\amdk8.sys
(6) 、病毒释放%programfiles%\ati\amdk8.dll文件并加载运行, 查找安全软进程件,找到以后杀掉安全软件进程。
(7) 、建立%temp%\updata.exe并加载运行, 创建互斥体名为“acdtest......”防止多次运行,将%temp%\updata.exe与c:\windows\system32\userinit.exe进行比较,如果不成功,提升temp%\updata.exe文件的访问权限并修改注册表信息:
hkey_local_machine\software\microsoft\windows\currentversion\run
数据:kav
值:c:\windows\system32\kav.exe
实现自启动。从指定网站下载hosts文件替换掉本地用户hosts文件并且将hosts文件修改为系统隐藏属性,将操作系统版本,网卡地址发到指定的网站,从指定网址下载大量病毒木马到本地运行.
(8) 、获得临时文件路径,释放%temp% \3kavaa.idx,并加载运行之,提升访问权限,然后在临时文件目录下创建%temp%\dogkiller.sys等驱动并创建注册表信息:hkey_local_machine\system\currentcontrolset\services\dogkiller
名称:imagepath
数据:\??\c:\docume~1\当前用户 \locals~1\temp\dogkiller.sys服务创建成功后调用此服务,再“dogkiller”运行结束关闭后删除“dogkiller.sys”文件,并调用api函数“shdeletekeya”删除注册表中“dogkiller”服务相关项实现对该服务的清除。
(9) 、建立病毒驱动设备名\\.\pciftdisk,以xxxx,yyyy为参数进行驱动控制管理。
(10) 、将病毒文件移动%systemroot%\system32目录下,重命名为kav.exe.  

病毒创建文件:

%temp% \310data.tmp
%programfiles%\ati\amdk8.inf
%programfiles%\ati\amdk8.sys
%programfiles%\ati\amdk8.dll
%systemroot%\system32\drivers\amdk8.sys
%temp%\updata.exe
%temp% \3kavaa.idx
%temp%\dogkiller.sys
%systemroot%\system32\kav.exe
   
病毒创建注册表:

1.hkey_local_machine\system\currentcontrolset\services\amdk8
名称:imagepath
数据:system32\drivers\amdk8.sys

2.hkey_local_machine\software\internets
名称:directorypath
数据:病毒路径

3.hkey_local_machine\system\currentcontrolset\services\dogkiller
名称:imagepath
数据:\??\c:\docume~1\当前用户\locals~1\temp\dogkiller.sys
  
4.hkey_local_machine\software\microsoft\windows\currentversion\run
名称:kav
数据:c:\windows\system32\kav.exe

病毒访问网络:

http://ddd.******.com:1002/count.aspx
http://ccc.******.com/pps.txt

免费试用
下  载

网站地图