警惕木马病毒Trojan-Downloader.Win32.Agent.feq
Trojan-Downloader.Win32.Agent.feq
该病毒为木马类,病毒运行后,在%Systme32%
下衍生病毒文件atielf.dat
;当用户连接Internet
时,将读取atielf.dat
进而获取病毒列表文件update.txt
中的URL
,从而下载并读取其信息使下载病毒文件在本机运行;通过给当前系统内执行的进程拍快照,来判断是否存在AVP.exe
进程,存在便通过API
函数"SetSystemTime"
修改系统时间为2001
年,月、日不变,以使卡巴斯基过期失效。新增注册表项,映像劫持多款安全软件,以降低系统的安全性;调用svchost.exe
进程加载病毒服务;此病毒完全执行自身代码后,会结束自身进程、删除自身,病毒还会随机启动。
清除方案:
1.
使用安天防线2008可彻底清除此病毒(推荐)。
2.
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)
该病毒在运行后,实现完自身代码便会结束自身进程,删除自身。
(2)
删除病毒衍生的文件
%System32%\atielf.dat
(3)
删除病毒添加的注册表映像劫持项
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion]下的Image File Execution Options子键,如有需要的话,
可以通过在另一台与你安装同样操作系统的“裸机”导出此项,在拷贝
至本机进行导入。
相关链接参见:http://www.antiy.com/security/report/20080704.htm
