科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Trojan-Dropper.Win32.Agent.bgc分析清除

Trojan-Dropper.Win32.Agent.bgc分析清除

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

该病毒为木马类,病毒运行后复制自身到系统目录,并重命名为D93EE4FE.EXE,衍生病毒文件,并删除自身。 修改注册表,添加服务项,以达到随机启动的目的。删

作者:ChinaItLab 来源:ChinaItLab 2008年9月23日

关键字: 病毒防范 防病毒

  • 评论
  • 分享微博
  • 分享邮件

  一、病毒标签:

  病毒名称: Trojan-Dropper.Win32.Agent.bgc

  病毒类型: 木马类

  文件 MD5: EE76E2E1B9B109D428306AC12413BE5F

  公开范围: 完全公开

  危害等级: 3文件长度: 13,019 字节

  感染系统: windows 98以上版本

  加壳类型: 未知壳

  二、 病毒描述:

  该病毒为木马类,病毒运行后复制自身到系统目录,并重命名为D93EE4FE.EXE,衍生病毒文件,并删除自身。 修改注册表,添加服务项,以达到随机启动的目的。删除注册表ERSvc服务,修改注册表ErrorReporting项,以关闭错误报告。主动连接网络更新病毒文件下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户敏感信息。

  三、 行为分析:

  1、病毒运行后,复制自身到系统目录下,衍生病毒文件,并删除自身:

  %System32%\D93EE4FE.DLL

  %System32%\D93EE4FE.EXE

  2、注册表相关操作如下:

  删除注册表ERSvc服务,以关闭错误报告:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

  键值: 字串: " Description " = "服务和应用程序在非标准环境下运行时允许错误报告。"

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

  键值: 字串: " DisplayName " = "Error Reporting Service"

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

  键值: 字串: " ImagePath " = " %SystemRoot%\System32\svchost.exe -k netsvcs. "

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

  键值: 字串: " ObjectName " = "LocalSystem"

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Parameters\

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Parameters

  键值: 字串: " ServiceDll " =" %SystemRoot%\System32\ersvc.dll. "

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Security\

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Start

  键值: DWORD: 2 (0x2)

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Type

  键值: DWORD: 32 (0x20)

  修改注册表值,以关闭ErrorReporting项:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DoReport

  新: DWORD: 0 (0)

  旧: DWORD: 1 (0x1)

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\ShowUI

  新: DWORD: 0 (0)

  旧: DWORD: 1 (0x1)

  3、将D93EE4FE.DLL插入到除进程System 与进程System Idle Process两个进程之外的其它进程中。

  4、创建服务,并以服务的方式达到随机启动的目的:

  服务名称: D93EE4FE

  显示名称:D93EE4FE

  描述:D93EE4FE可执行文件的路径:C:\WINDOWS\system32\D93EE4FE.EXE -d

  启动方式:自动

  5、主动连接网络,下载相关病毒文件信息:协议:TCP地址:web.ip568.cn(60.172.210.2)

  端口:80

  进程:以插入D93EE4FE.DLL的EXPLORER.EXES 进程

  下载文件: 更新文件update.txt、网页文件count.asp

  6、该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户敏感信息。

  注释:

  %Windir% WINDODWS所在目录

  %DriveLetter% 逻辑驱动器根目录

  %ProgramFiles% 系统程序默认安装目录

  %HomeDrive% 当前启动系统所在分区

  %Documents and Settings% 当前用户文档根目录

  %Temp% 当前用户TEMP缓存变量;路径为:

  %Documents and Settings%\当前用户\Local Settings\Temp %System32% 是一个可变路径;

  病毒通过查询操作系统来决定当前System32文件夹的位置;

  Windows2000/NT中默认的安装路径是 C:\Winnt\System32;

  Windows95/98/Me中默认的安装路径是 C:\Windows\System;

  WindowsXP中默认的安装路径是 C:\Windows\System32.

  四、 清除方案:

  1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com.

  2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm.

  (1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程XXX,XXX

  (2) 强行删除病毒文件%System32%\D93EE4FE.DLL %System32%\D93EE4FE.EXE

  (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

  键值: 字串: " Description " = "服务和应用程序在非标准环境下运行时允许错误报告。"

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章