收藏
查看我的收藏
0 有用+1 已投票

Trojan-Downloader.Win32.Agent.bsc

编辑:见识网互动百科 时间:2019-11-28 19:44:37
编辑 锁定
病毒木马类 , 病毒被激活后,复制自身到系统目录和各个驱动器下;并以多种方式添 加启动项,包括注册表、 「开始」菜单 \程序\启动、 在各个驱动器根目录下添加 AutoRun自启 动项。病毒还伪装成网页的形式,用以迷惑用户点击运行。该病毒还可以记录键盘信息,达到其收集敏感信息的目的;主动连接网络下载大量病毒相关文件。主要传播途径为 移动存储介质传播, 还可通过恶意网站、其它病毒 /木马下载传播。
中文名
Trojan-Downloader.Win32.Agent.bsc
病毒类型
 木马类
公开范围
 完全公开
危害等级
3

目录

  1. 1 病毒简介
  2. 2 行为分析
  3. 3 清除方案

Trojan-Downloader.Win32.Agent.bsc病毒简介

编辑
病毒名称: Trojan-Downloader.Win32.Agent.bsc
病毒类型: 木马类
文件 MD5: 7F6289796011D6DC1F00447EE501FD68
公开范围: 完全公开
危害等级: 3
文件长度: 1,078,784 字节
感染系统: windows 98以上版本
开发工具: Borland C++
加壳类型: 无

Trojan-Downloader.Win32.Agent.bsc行为分析

编辑
1 、病毒被激活后,复制自身到系统目录和各个驱动器下,衍生病毒文件:
%WINDIR%\QQ.exe
%Documents and Settings%\All Users\「开始」菜单\
程序\启动\Internet Explorer.exe
[DRIVE LETTER]:\ Autorun.inf
[DRIVE LETTER]:\ iexplore.exe
[DRIVE LETTER]:\ 网上资料 .htm.exe
2 、添加启动项,以达到自启动的目的:
⑴在注册表中添加启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值 : 字串: " QQ " = " %WINDIR%\QQ.exe "
⑵在 “「开始」菜单\程序\启动” 中 添加启动项:
%Documents and Settings%\All Users\「开始」菜单\程序\
启动\Internet Explorer.exe
⑶在各个驱动器根目录下释放自身副本,添加AutoRun自启动项:
[DRIVE LETTER]:\ Autorun.inf
[DRIVE LETTER]:\ iexplore.exe
3 、该病毒具有键盘记录功能,用以记录用户的录入信息。
4、在各个驱动器根目录下释放自身副本并命名为:网上资料.htm.exe。以Internet Explorer的
图标为网上资料.htm.exe的显示图标,伪装成网页的 形式,用以迷惑用户点击。网上资料 .htm.exe为可变文件名,内部列表为:
网上资料 .htm.exe
下载 .htm.exe
论文 .htm.exe
个人资料 .htm.exe
使用说明 .htm.exe
日记 .htm.exe
readme.htm.exe
重要内容 .htm.exe
未命名 .htm.exe
5、主动连接网络,开启大量线程下载相关病毒文件信息,下载地址如下:
125.126.1*0.1*4:80
59 .151.2* .1*0:80
125.126.1*4.7* :80
222.28 .1*2.1*0:80
220.181.1* .1*6:80
220.181.1* .1*4:80
221.194.1*4.3* :80
203.209.2*2.6* :80
203.209.2*2.5* :80
60 .28 .2*6.4* :80
60 .191.1*3.9* :80
60 .28 .2*2.6* :80
61 .135.1*1.2*0:80
61 .135.1*1.1*6:80
61 .152.1*8.1*1:80
64 .233.1*9.1*4:80
64 .213.2*0.1*1:80
211.94 .1*4.1*0:80
6、 该病毒通过移动存储介质,恶意网站、其它病毒/木马下载传播, 可以盗取用户敏感信息。
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。
Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装
路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。

Trojan-Downloader.Win32.Agent.bsc清除方案

编辑
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用 安天木马防线进程管理”关闭病毒进程。
(2)删除病毒文件:
%WINDIR%\QQ.exe
%Documents and Settings%\All Users\
「开始」菜单\程序\启动\Internet Explorer.exe
[DRIVE LETTER]:\ Autorun.inf
[DRIVE LETTER]:\ iexplore.exe
[DRIVE LETTER]:\ 网上资料 .htm.exe
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
键值 : 字串: " QQ " = " %WINDIR%\QQ.exe "
(4)删除在 “「开始」菜单\程序\启动” 中 启动项:
%Documents and Settings%\All Users\
「开始」菜单\程序\启动\Internet Explorer.exe
(5)在各个 驱动器和 移动存储介质 根目录下建 Autorun病毒免疫:
创建 Autorun.inf文件,属性设为系统只读。
词条标签:
计算机学 病毒 技术 互联网