病毒標籤:
病毒名稱: Backdoor.Win32.Agent.ahj
病毒類型: 後門
文件 MD5: 7DB2256231F54B253CCF52D4A6E7E96D
公開範圍: 完全公開
危害等級: 5
文件長度: 17,801 字節
感染系統: windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: Xtreme-Protector v1.05
病毒描述:
該病毒屬後門類,病毒運行後衍生病毒文件到系統目錄下,並刪除自身,修改註冊表,新建服務,並以服務的方式達到隨機啟動的目的。在 %Favorites% 文件夾中創建 URL 文件,可以彈出相關色情網站。刪除系統正常服務 ERSvc 。病毒衍生的文件 992219FBE.DLL 插入系統進程 winlogon.exe 、 scvhost.exe 、 csrss.exe 、 services.exe 、 explorer.exe 中。嘗試關閉卡巴斯基反病毒軟件。
行為分析:
1 、病毒運行後衍生病毒文件:
%system32%\92219FBE.DLL
%system32%\92219FBE.EXE
%system32%\92219FBET.EXE
%Documents and Settings%\ 計算機用戶名 \ 桌面 \ 免費點歌 .url
%Documents and Settings%\ 計算機用戶名 \ 桌面 \ 午夜激情 .url
%Documents and Settings%\ 計算機用戶名 \ 桌面 \ 火爆美女 .url
%Documents and Settings%\ 計算機用戶名 \Favorites\ 免費點歌 .url
%Documents and Settings%\ 計算機用戶名 \Favorites\ 午夜激情 .url
%Documents and Settings%\ 計算機用戶名 \Favorites\ 火爆美女 .url
%Documents and Settings%\ 計算機用戶名 \Local Settings\
Temporary Internet Files\Content.IE5\CHUFWD67\i[1].exe
2 、修改註冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\92219FBE
鍵值 : 字串 : "ImagePath"="C:\WINDOWS\system32\92219FBE.EXE -service"
3 、創建服務,並以服務的方式達到隨機啟動的目的:
服務名稱: 92219FBE
顯示名稱: 92219FBE
描述: 92219FBE
可執行文件的路徑: C:\WINDOWS\system32\92219FBE.EXE -service
啟動方式:自動
4 、刪除系統正常服務 ERSvc :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc
鍵值 : 字串 : "Description"=" 服務和應用程序在非標準環境下運行時允許錯誤報告 "
5 、會自動彈出色情網站:
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。*x1*6.cn/vip/
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。*1*1.com/sg.html
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。*1*1.com/moyu.html
6 、病毒衍生的文件 992219FBE.DLL 插入系統進程 winlogon.exe 、 scvhost.exe 、
csrss.exe 、 services.exe 、 explorer.exe 中。
7 、嘗試關閉卡巴斯基反病毒軟件。
8 、嘗試修改系統時間為: 1997 年 11 月 18 日。 ( 修改未成功 )
註: % System% 是一個可變路徑。病毒通過查詢操作系統來決定當前 System 文件夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。