Trojan-Downloader.Win32.Agent.kzh

病毒名称

Trojan-Downloader.Win32.Agent.kzh

捕获时间

2007-10-19

病毒症状

该病毒是一个使用Delphi编写的木马程序，长度为27,852字节，图标为常规可执行文件图标，病毒扩展名为exe。

病毒分析

该木马程序激活后，拷贝自身到C:\\PROGRAM FILES\\COMMON FILES\\SYSTEM目录下并重命名为ipslgcs.exe，拷贝自身到C:\\PROGRAM FILES\\COMMON FILES\\MICROSOFT SHARED目录下并重命名为jnodbqv.exe，将两个文件的属性修改为隐藏和系统；添加注册表启动项，使jnodbqv.exe随系统自动启动；通过修改注册表项禁用服务SharedAccess、helpsvc、wscsvc和wuauserv；修改系统时间，使部分杀软无法正常运行；试图强行关闭“我的电脑”窗口；试图强行结束explorer.exe进程；使用映像劫持技术劫持多种安全软件，当用户试图运行这些软件时便会激活病毒；强行删除多种杀毒软件和防火墙的自启动项，使其无法随系统启动；在非系统逻辑驱动器和可移动存储介质中释放隐藏病毒文件oqotpwd.exe以及autorun.inf，试图利用Windows自动播放功能进行传播；连接恶意网站http://www.***.com/，在后台下载有害病毒程序。

病毒添加的注册表项：

项：HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

键值：oqotpwd

指向文件：jnodbqv.exe

劫持的安全软件：

avp.exe

runiep.exe

PFW.exe

FYFireWall.exe

rfwmain.exe

rfwsrv.exe

KAVPF.exe

KPFW32.exe

nod32kui.exe

nod32.exe

Navapsvc.exe

Navapw32.exe

avconsol.exe

webscanx.exe

NPFMntor.exe

vsstat.exe

KPfwSvc.exe

RavTask.exe

Rav.exe

RavMon.exe

mmsk.exe

WoptiClean.exe

QQKav.exe

QQDoctor.exe

EGHOST.exe

360Safe.exe

iparmo.exe

adam.exe

IceSword.exe

360rpt.exe

360tray.exe

AgentSvr.exe

AppSvc32.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

CCenter.exe

ccSvcHst.exe

FileDsty.exe

FTCleanerShell.exe

HijackThis.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KASMain.exe

KASTask.exe

……

感染对象

Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003

传播途径

网页挂马、可移动存储