Trojan-Downloader.Win32.Agent.kzh
病毒名称
Trojan-Downloader.Win32.Agent.kzh
捕获时间
2007-10-19
病毒症状
该病毒是一个使用Delphi编写的木马程序,长度为27,852字节,图标为常规可执行文件图标,病毒扩展名为exe。
病毒分析
该木马程序激活后,拷贝自身到C:\\PROGRAM FILES\\COMMON FILES\\SYSTEM目录下并重命名为ipslgcs.exe,拷贝自身到C:\\PROGRAM FILES\\COMMON FILES\\MICROSOFT SHARED目录下并重命名为jnodbqv.exe,将两个文件的属性修改为隐藏和系统;添加注册表启动项,使jnodbqv.exe随系统自动启动;通过修改注册表项禁用服务SharedAccess、helpsvc、wscsvc和wuauserv;修改系统时间,使部分杀软无法正常运行;试图强行关闭“我的电脑”窗口;试图强行结束explorer.exe进程;使用映像劫持技术劫持多种安全软件,当用户试图运行这些软件时便会激活病毒;强行删除多种杀毒软件和防火墙的自启动项,使其无法随系统启动;在非系统逻辑驱动器和可移动存储介质中释放隐藏病毒文件oqotpwd.exe以及autorun.inf,试图利用Windows自动播放功能进行传播;连接恶意网站http://www.***.com/,在后台下载有害病毒程序。
病毒添加的注册表项:
项:HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
键值:oqotpwd
指向文件:jnodbqv.exe
劫持的安全软件:
avp.exe
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Navapw32.exe
avconsol.exe
webscanx.exe
NPFMntor.exe
vsstat.exe
KPfwSvc.exe
RavTask.exe
Rav.exe
RavMon.exe
mmsk.exe
WoptiClean.exe
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KASMain.exe
KASTask.exe
……
感染对象
Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003
传播途径
网页挂马、可移动存储