Backdoor.Win32.Agent.ahj

該病毒屬後門類,病毒運行後衍生病毒檔案到系統目錄下,並刪除自身,修改註冊表,新建服務,並以服務的方式達到隨機啟動的目的。在 %Favorites% 資料夾中創建 URL 檔案,可以彈出相關色情網站。

基本介紹

  • 外文名:Backdoor.Win32.Agent.ahj
  • 危害等級:5
  • 病毒類型: 後門
  • 公開範圍:完全公開
  • 檔案長度: 17,801 位元組
病毒名稱,病毒描述,清除方案,專家建議,

病毒名稱

Backdoor.Win32.Agent.ahj
感染系統: windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: Xtreme-Protector v1.05

病毒描述

刪除系統正常服務 ERSvc 。病毒衍生的檔案 992219FBE.DLL 插入系統進程 winlogon.exe 、 scvhost.exe 、 csrss.exe 、 services.exe 、 explorer.exe 中。嘗試關閉卡巴斯基反病毒軟體。
行為分析:
1 、病毒運行後衍生病毒檔案:
%system32%\92219FBE.DLL
%system32%\92219FBE.EXE
%system32%\92219FBET.EXE
%Documents and Settings%\ 計算機用戶名 \ 桌面 \ 免費點歌 .url
%Documents and Settings%\ 計算機用戶名 \ 桌面 \ 午夜激情 .url
%Documents and Settings%\ 計算機用戶名 \ 桌面 \ 火爆美女 .url
%Documents and Settings%\ 計算機用戶名 \Favorites\ 免費點歌 .url
%Documents and Settings%\ 計算機用戶名 \Favorites\ 午夜激情 .url
%Documents and Settings%\ 計算機用戶名 \Favorites\ 火爆美女 .url
%Documents and Settings%\ 計算機用戶名 \Local Settings\
Temporary Internet Files\\CHUFWD67\i[1].exe
2 、修改註冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\92219FBE
鍵值 : 字串 : "ImagePath"="C:\WINDOWS\system32\92219FBE.EXE -service"
3 、創建服務,並以服務的方式達到隨機啟動的目的:
服務名稱: 92219FBE
顯示名稱: 92219FBE
描述: 92219FBE
執行檔的路徑: C:\WINDOWS\system32\92219FBE.EXE -service
啟動方式:自動
4 、刪除系統正常服務 ERSvc :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc
鍵值 : 字串 : "Description"=" 服務和應用程式在非標準環境下運行時允許錯誤報告 "
5 、會自動彈出色情網站:
6 、病毒衍生的檔案 992219FBE.DLL 插入系統進程 winlogon.exe 、 scvhost.exe 、
csrss.exe 、 services.exe 、 explorer.exe 中。
7 、嘗試關閉卡巴斯基反病毒軟體。
8 、嘗試修改系統時間為: 1997 年 11 月 18 日。 ( 修改未成功 )
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------

清除方案

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 禁止服務: 92219FBE
(2) 在安全模式下刪除病毒檔案:
%system32%\92219FBE.DLL
%system32%\92219FBE.EXE
%system32%\92219FBET.EXE
%Documents and Settings%\ 計算機用戶名 \ 桌面 \
免費點歌 .url
%Documents and Settings%\ 計算機用戶名 \ 桌面 \
午夜激情 .url
%Documents and Settings%\ 計算機用戶名 \ 桌面 \
火爆美女 .url
%Documents and Settings%\ 計算機用戶名 \Favorites\
免費點歌 .url
%Documents and Settings%\ 計算機用戶名 \Favorites\
午夜激情 .url
%Documents and Settings%\ 計算機用戶名 \Favorites\
火爆美女.url
%Documents and Settings%\ 計算機用戶名 \Local Settings\
Temporary Internet Files\5\CHUFWD67\i[1].exe

專家建議

1.注意系統時間是否被惡意更改。
2.在任務管理器中查看是否有陌生的比較可疑的進程存在。
3.儘快安裝防毒軟體並開啟實時監控功能。
手動查殺方法:打開系統的任務管理器,找到C:\windows\system32\XXXX.exe進程並結束它,然後找到XXXX.exe和ggkb.bat檔案將其刪除即可。

熱門詞條

聯絡我們