爱毒霸社区
拒绝当“肉鸡” 保安获大奖!
顽固病毒解决方案大全
一点一滴学电脑应用技巧
毒霸2008教程——清理专家
欺骗是攻击者最热衷的手法
爱毒霸社区推荐安全工具下载
如何使用命令行查毒
远程清除机器狗病毒实战
清理专家在手,菜鸟杀毒不愁
如何判断进程或程序是否安全
windows安全漏洞的解释索引
史上最强磁碟机病毒清除思路
金山ARP防火墙1.2版功能简介
Win32.Troj.AgentT.ge.23559
病毒名称(中文):
灰鸽子变种333312
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
29818
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个木马程序,复制自身到系统目录的多个文件夹,在各个磁盘分区根目录创建Autorun.inf
和病毒文件,通过U盘传播,并添加到启动项,同时修改注册表映像劫持大多数安全软件,破坏安全模式。在
病毒程序运行时会关闭大多数安全相关的软件,从网络下载其他的病毒木马。
1.复制文件:
%sys32dir%\verclsids.exe
%ProgramFiles%\meex.exe
%ProgramFiles%\Common Files\Microsoft Shared\fjmnjay.inf
%ProgramFiles%\Common Files\Microsoft Shared\yedeayu.exe
%ProgramFiles%\Common Files\System\ewwwoxi.exe
%ProgramFiles%\Common Files\System\fjmnjay.inf
另外,还在每个磁盘分区根目录下面创建以下两个文件:
Autorun.inf
mcqdvnc.exe
其中Autorun.inf文件的内容指向mcqdvnc.exe,双击打开磁盘分区则会执行mcqdvnc.exe。
2.添加到到注册表:
添加到系统启动项,随系统启动:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
fjmnjay "%ProgramFiles%\Common Files\System\ewwwoxi.exe"
mcqdvn "%ProgramFiles%\Common Files\Microsoft Shared\yedeayu.exe"
添加以下键值,破坏文件夹选项,隐藏自身:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden dword:00000000
添加以下键值,对大多数安全软件进行映像劫持:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe]
Debugger "C:\Program Files\Common Files\Microsoft Shared\yedeayu.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe]
Debugger "C:\Program Files\Common Files\Microsoft Shared\yedeayu.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
Debugger "C:\Program Files\Common Files\Microsoft Shared\yedeayu.exe"
……
还有大量的其他安全软件的映像劫持。
删除以下键值,是系统无法进入安全模式:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
3.破坏方式
木马通过影响劫持使安全软件失效、破坏文件夹选项、破坏安全模式来达到保护自身的目的,并且从网络下载其他木马病毒,对系统
造成严重破坏,另外木马随系统启动后,会启动IExplorer.exe进程并注入其中。其破坏方式类似于AV终结者。
4.相关网址:
http://www.w****b.com/TD***1.exe
http://www.w****b.com/R****o*n.txt
可能会从上面的网址读取信息并下载其他木马或者病毒。
特别提示:上述描述仅为金山软件进行病毒或其他恶意、不良程序测试过程中的事实情况记录,病毒或其他恶意、不良程序在不同的软硬件环境下具体行为可能存在差异,该显示结果并不必然具备推广适用性。