我爱电脑技术论坛 » 网络安全区 » 警惕机器狗变种Trojan-Downloader.Win32.Agent.qpv

超越平凡 发表于 2008-6-17 23:02

警惕机器狗变种Trojan-Downloader.Win32.Agent.qpv

警惕机器狗变种Trojan-Downloader.Win32.Agent.qpv :Q`1^i4E+oJ
SC4j4Dq%P;png
Trojan-Downloader.Win32.Agent.qpv病毒为下载者木马类，病毒运行后调用API获取系统文件夹路径，衍生病毒文件到%Windir%\AppPatch目录下，重命名为Jview.dll与AcXtrnel.dll，并添加注册表启动项，创建rundll32.exe使该进程加载病毒DLL文件，连接网络下载大量恶意病毒文件到本地执行，经分析下载的大量病毒为盗号木马类，给用户清理造成及大的不便。 @&W;Qc&Nra
:q,h"J:U] Z
清除方案： l&q6v-i"@0D
1.    使用安天防线2008可彻底清除此病毒(推荐)。
$^$h7@4d,r[ k$p?y
R"_a [tU 2.    手工清除请按照行为分析删除对应文件，恢复相关系统设置。
5C9sZ+soS （1）    使用ATOOL“进程管理”找到rundll32.exe进程结束该进程 #^*kap3o(? r*I
-n k7?LyI~"W1efAn
（2）    强行删除病毒文件 9d8}(~{+kS S \-zY
1.    %Windir%\AppPatch\Jview.dll                 
9]4]7Yt9E
Cjl 2.    %Windir%\AppPatch \AcXtrnel.dll /cb'rR@,s;fD
（3）    删除病毒服务注册表项 2qK7U
n,qa+j
3.    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
0z,u|6Z.|t$H.B     \{DA191DE0-AA86-D04E-4B87-2A3D4928BE99}\InprocServer32] Mx$hFv
    新建键值: "@" (BI,Jj:t
\*t)CHM
    类型： REG_SZ
)w(H'o j(Ux4z.}     字符串： “C:\WINDOWS\AppPatch\Jview.dll”
G1tv5S2Mg _     描述: 添加注册表项，以达到随机启动的目的 7NZZ J.u#h/J:n*@
4.    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
QX;U3P~W     \{DA191DE0-AA86-D04E-4B87-2A3D4928BE99}\InprocServer32] 4m G1mEj`Q5Qt
    新建键值: "ThreadingModel"
6B.C y \VND     类型： REG_SZ pV{BFmwrh
    字符串： “Apartment” \wv\:C|'r^
    描述: 注册CLSID值
!scsfU(l 5.    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
)o"M'U5{7Jz%A     \CurrentVersion\ShellServiceObjectDelayLoad]
-b#~q@Kd:rB(Y?p3~     新建键值: "JavaView" ~&^Rqj4e&@
    类型： REG_SZ M:vl~ O_b#n;q8Du N aY
                  字符串： “{DA191DE0-AA86-D04E-4B87-2A3D4928BE99}”

查看完整版本: 警惕机器狗变种Trojan-Downloader.Win32.Agent.qpv