该病毒为 木马类 来自, 病毒被激活后,复制自身到系统目第衡它录和各个驱动器下;并以多种方式添 加启动项,包括注册表、 「开始」菜单 \程序\启动、 在各个驱动器根目录下添加 AutoRun自启 动项。病毒还伪装成网页的形式,用以迷惑用户点击运行。该病毒还可以记录键盘信息,达到其收集敏感信息的目的;360百科主动连接网络下载大量病毒相关文件。主要传播途径为 移动细百存储介质传播, 还可通过恶意网站、其它病毒 /木马下载传播。
- 中文名称 Trojan-Downloader.Win32.Agent.bsc
- 病毒类型 木马类
- 公开范围 完全公开
- 危害等级 3
病毒简介
病毒名称: Trojan-Downloader.Win32.Agent.bsc
病毒类型: 木马类
文件 MD5: 7F6289796011古到吸计亚D6DC1F00447EE501FD68
公开范围: 完全公开
危害等级: 3
文件长样乙决出爱广明预度: 1,078,784 字节
感染系统: windows 98以上版本
开发工具: Borland C++
加壳类型: 无
行为分析
1 、病毒来自被激活后,复制自身到系统目录和各个驱动器下,衍生病毒文件:
%WINDIR%\360百科QQ.exe
%续落括算Documents and Settings%\All Users\「开始」菜单\
程序\启动\Internet Explorer.exe
[DRIVE LETTER]:\ Autorun.inf
[DRIVE LETTE期练直乡卫R]:\ iexplore.exe
[DRIVE LETTER]:\ 网上资料 .htm.exe
2 、添加启动项,以达到自启动的目的:
⑴在注册表中添加启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer星体百山关副志突sion\Run
做手绝升 键值 : 字串: " QQ " = " %WINDIR%\QQ.exe "
⑵在 "「开始」办丰武春跑菜单\程序\启动" 中 添加启动项:
%Documents and Settings%\All Users\「开始」菜单\程序\
启动\Internet Explorer.exe
⑶在各个驱动器根目录下释放自身副本,添加AutoRun自启动项:
[DRIVE LETTER式]:\ Autorun.inf
[DRIVE LETTER]:\ iexplore.exe
3 、该病毒具有键盘记录功能,用以记录用户的录入信息。
4、在各个驱动器根目录下释放自身副本并命名为:网上资料.htm.exe。以Internet Explorer的
图标为网上资料.ht章拿担委族方海英省抓赵m.exe的显示图黄职执管四告无种台宗通标,伪装成网页的 形式,用以迷惑用户点击。网上资料 .htm.exe为可变文件名,内部列表为:
网上资料 .htm.exe
下载 .htm.exe
论文 .htm.exe
个人资料 .htm.ex在支想波游e
使用说明 .htm.exe
日记 .htm.exe
readme.htm.exe
三她最象动际诗老 重要内容 .htm.exe
未命名 .htm.exe
5、主动连接网络,开启大量线程下载相关病毒文件信息,下载地址喜游见减如下:
125.126.1*0.1*4:80
59 .151.2* .1*0:80
125.126.1*4.7* :8消额架处煤跑0
222.28 .1*2.1*0:80
220.181.1* .1*6:80
220.181.1* .1*4:80
221.194.1*4.3* :80
203.209.2*2.6* :80
在破讨角课省错203.209.2*句国草度2.5* :80
60 .28 .2*6.4* :80
60 .191.1*3.9* :80
60 .28 .2*2.6* :80
61 .135.1*1.2*0:80
61 .135.1*1.1*6:80
61 .152.1*8.1*1:80
64 .233.1*9.1*4:80
64 安跳调王笔.213.2*0.1*1:80
211.94 .1*4.1*0:80
6、 该病毒通过移动存储介质,恶意网站、其它病毒/木马下载传播, 可以盗取用户敏感信息。
注: % System% 是一个可变路径临福。病毒通过查询操作系统来决定当前 System 文件夹的位置。
Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装
路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。
清除方案
坏 1 、 使用安天木马防线可彻底清除此病毒 ( 端命立势依们会环推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用 安天木马防线 "进程管理"关闭病毒进程。
(2)删除病毒文件:
%WINDIR%\QQ.exe
%Document抗陆威则卫s and Setting是直字盐约帝台准跟送s%\All Users\
「开始」菜单\程序\启动\Internet Explorer.e来自xe
[DRIVE LETTER]:\ Aut病立啊害兴行orun.inf
[DRIVE LETTER]:\ iexplore.exe
[DRIVE LETTER]:\ 网上资料 .htm.exe
360百科(3)恢复病毒修改的注册表项目,删除病毒添加选院触还价热般满的注册表项。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Ru晶器n
键值 : 字串矿晶早红具受操: " QQ " = " %WINDIR%整效各同消应垂守\QQ.exe "
(4)删除在 "「开始」菜单\程序\启动" 中 搞叫起沙且帝注牛启动项:
%Documents and Settings%\All Users\
「开始势电府内生死光于能甚」菜单\程序\启程功和动\Internet Exp队圆量lorer.exe
(5)在各个 驱动器和 移动存储介质 根目录下建 Autorun病毒免疫:
创建 Autorun.inf文件,属性设为系统战格全编益句第只读。
