Backdoor.Win32.Agent.luc
知识库编号: RSV0707698
内容分类: 木马病毒
适用产品分类:瑞星杀毒软件.单机版.标准版.2007
瑞星杀毒软件.单机版.升级版.2007
瑞星杀毒软件.单机版.下载版.2007
关键词: Backdoor.Win32.Agent.luc;清除;查杀
本文介绍Backdoor.Win32.Agent.luc病毒资料及清除方法。
【病毒分析】:
该病毒具有以下行为:
1、病毒运行后将自己复制到下列路径:
%WINDOWS%\\SYSTEM\\CMPKU.EXE
%WINDOWS%\\MAPSERVER.EXE
%WINDOWS%\\SYSTEM\\MAINSV.EXE
2、病毒在注册表中添加下列启动项实现自启动:
??? HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run
?"Cmpnt" = %WINDOWS%\\SYSTEM\\CMPKU.EXE
??? HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\Run
?"Ntcheck" = %WINDOWS%\\MAPSERVER.EXE
??? HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\RunServices
?"Shell" = %WINDOWS%\\SYSTEM\\MAINSV.EXE
??? HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\Currentversion\\RunOnce
?"Cmpnt" = %WINDOWS%\\SYSTEM\\MAINSV.EXE
3、病毒还修改注册表下列键值的实现"不显示隐藏文件"、"隐藏已知扩展名"
??? HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced?
??????? "HideFileExt" = 0x1
??? HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced
??????? "Hidden" = 0x0
4、病毒在后台隐藏运行,接收网络中发送的请求并且执行下列请求对应的动作
1.获取中毒计算机中的目录信息,
2.获取中毒计算机中的文件信息,
3.删除中毒计算机中的文件
4.执行中毒计算机中的文件
5.关闭中毒计算机
6.注销中毒计算机
7.修改中毒计算机中的文件属性
8.获取中毒计算机的IP地址 等等.
【清除方法】:
使用瑞星橙色八月专杀工具查杀,在内存扫描完成后,打开瑞星杀毒软件升级到最新版本全盘查杀。