查看完整版本: 转帖:警惕木马下载器Trojan-Downloader.Win32.Agent.qpv.gif

h24arb 2008-6-24 18:12

转帖:警惕木马下载器Trojan-Downloader.Win32.Agent.qpv.gif

[align=center][align=center][b][font=宋体][size=14pt]警惕木马下载器[/size][/font][/b][b][size=14pt]Trojan-Downloader.Win32.Agent.qpv.gif[/size][/b][/align][/align][font=宋体]该病毒为下载者木马类,病毒运行后调用[/font]CreateMutexA[font=宋体]函数创建互病毒斥量:[/font]__DL_CORE4GA_MUTEX__[font=宋体],目的防止多次运行,调用[/font]API[font=宋体]获取系统文件夹路径,衍生病毒文件到[/font]%Windir%\AppPatch[font=宋体]目录下,重命名为[/font]Jview.dll[font=宋体]与[/font]AcXtrnel.dll[font=宋体],并添加注册表启动项,创建[/font]rundll32.exe[font=宋体]使该进程加载病毒[/font]DLL[font=宋体]文件,连接网络下载大量恶意病毒文件到本地执行,经分析下载的大量病毒为盗号木马类,给用户清理造成及大的不便。[/font]
[b] [/b]
[b][font=宋体][size=9.0pt]清除方案:[/size][/font][/b][b][/b]
[b]1.
[/b][b][font=宋体]使用安天防线[/font][/b][b]2008[/b][b][font=宋体]可彻底清除此病毒[/font][/b][b]([/b][b][font=宋体]推荐[/font][/b][b])[/b][b][font=宋体]。[/font][/b][b][/b]

2.
[font=宋体]手工清除请按照行为分析删除对应文件,恢复相关系统设置。[/font]
(1)
[font=宋体][size=9.0pt]使用[/size][/font]ATOOL“[font=宋体][size=9.0pt]进程管理[/size][/font]”[font=宋体][size=9.0pt]找到[/size][/font]rundll32.exe[font=宋体][size=9.0pt]进程结束该进程[/size][/font]
(2)
[font=宋体][size=9.0pt]强行删除病毒文件[/size][/font]
[size=9pt]1.
[/size]%Windir%\AppPatch\Jview.dll[size=9pt]
[/size]
2.
%Windir%\AppPatch \AcXtrnel.dll
(3)
[font=宋体][size=9.0pt]删除病毒服务注册表项[/size][/font]
1.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\


{DA191DE0-AA86-D04E-4B87-2A3D4928BE99}\InprocServer32]

[font=宋体]新建键值[/font]: "@"
[font=宋体]类型:[/font] REG_SZ
[font=宋体]字符串:[/font] “C:\WINDOWS\AppPatch\Jview.dll”
[font=宋体]描述[/font]: [font=宋体]添加注册表项,以达到随机启动的目的[/font]

2.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{DA191DE0-AA86-D04E-4B87-2A3D4928BE99}\InprocServer32]
[font=宋体]新建键值[/font]: "ThreadingModel"
[font=宋体]类型:[/font] REG_SZ
[font=宋体]字符串:[/font] “Apartment”
[font=宋体]描述[/font]: [font=宋体]注册[/font]CLSID[font=宋体]值[/font]

3.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\ShellServiceObjectDelayLoad]
[font=宋体]新建键值[/font]: "JavaView"
[font=宋体]类型:[/font] REG_SZ

[font=宋体]字符串:[/font] “{DA191DE0-AA86-D04E-4B87-2A3D4928BE99}”
[b] [/b]
[font=宋体]相关链接参见:[/font][url=http://www.antiy.com/security/report/20080622.htm][color=#0000ff]http://www.antiy.com/security/report/20080622.htm[/color][/url]
页: [1]
查看完整版本: 转帖:警惕木马下载器Trojan-Downloader.Win32.Agent.qpv.gif