病毒标签:
病毒名称: Trojan.Win32.Agent.bi
病毒类型: 木马
危害等级: 中
文件长度: 12,255 字节
感染系统: windows 9x 及以上版本
开发工具: Visual C++
加壳类型: 未知壳
病毒描述:
该木马会修改注册表设置并删除系统中 MIME 控制,该木马会修改注册表的 键值 ,删除某些 键值, 修改系统服务配置,达到随系统启动的目的。拷贝自身到 %System% 下,病毒名后两个字符不定。修改注册表中 CLSID 下的键值,更改 IE 设置。
行为分析:
1 、修改注册表如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control
\ServiceCurrent\@
旧值: DWORD: 7 (0x7) 新值 : DWORD: 8 (0x8)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum
\Count
旧值: DWORD: 0 (0) 新值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum
\NextInstance
旧值: DWORD: 0 (0) 新值 : DWORD: 1 (0x1)
新建值如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\\LocalServer32\@ 键值为病毒所在路径。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F 咪 # 泛闹 `I
\DisplayName
键值: 字串 : "Network Security Service (NSS)" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F 咪 # 泛闹 `I
\ErrorControl
键值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F 咪 # 泛闹 `I\ImagePath
键值:病毒所在路径
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11F 咪 # 泛闹 `I
\DisplayName
键值 : 字串 : "Network Security Service (NSS)"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11F 咪 # 泛闹 `I
\ObjectName
键值 : 字串 : "LocalSystem"
2 、修改以下四种服务配置中的一种,把这个服务过程的主线程连接到服务控制管理程序中,并更新服务控制管理程序的状态信息,从而达到随系统启动的目的。
Network Security Service
Network Security Service (NSS)
Remote Procedure Call (RPC) Helper
Workstation Netlogon Service
3 、添加注册表中的 RunServices 项和 Applications 项 :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellCompatibility\Applications\
建值由释放的病毒体名决定 .
4 、大量修改如下键值:
HKEY_CURRENT_USER\CLSID\\LocalServer32\
= <path>\<filename.exe>
5 、释放病毒体:
Windows 2000 和 NT 下,位于 %Windir%\System32\
Windows 95 、 98 和 ME 下,位于 %Windir%\System32
Windows XP 下,位于 %Windir%\System32
6 、释放的病毒体名不定 , 从 "0123456789ABCDEF" 随机选取两个字符作为病毒名的
后两个字节。病毒体名前字符串为以下几种:
add api app atl cr cr d3 ie ip java mfc ms net nt sdk sys win
举例: addxy.exe
Trojan.Win32.Agent.bi 分析
来源:
作者:
时间:2006-02-03
点击:
最新评论共有 0 位网友发表了评论
查看所有评论
发表评论
- 赞助商连接
热点关注
- rootkit.adprot.g病毒删除
- Backdoor.win32.hupigon.x
- 解决修改系统时间使杀毒软
- 简单几招彻底防御熊猫烧香
- Backdoor.GrayBird.ad( 灰
- 2004 年流行木马 . 后门 .
- 知己知彼 对流氓软件“34
- Trojan-PSW.Win32.Lmir.lq
- Trojan.Win32.Agent.bi 分
- Ipxsrv 、 nwlink 病毒分
- 病毒downloader.istbar的
- “熊猫烧香”病毒终极解决
- 病毒防治:手动查杀电脑病
- trojan.win32.vb.sj 分析
- 网吧计算机防毒杀毒安全技
- 关于rising.exe病毒的解决
- "蘑菇"病毒冒充系统文件
- 网钓出新招 冒充Skype散
- Trojan-Psw.Win32.Lmir.ac
- 查处“元凶”从根本上根除