Trojan-Dropper.Win32.Agent.bgc分析清除

　　一、病毒标签：

　　病毒名称： Trojan-Dropper.Win32.Agent.bgc

　　病毒类型： 木马类

　　文件 MD5： EE76E2E1B9B109D428306AC12413BE5F

　　公开范围： 完全公开

　　危害等级： 3文件长度： 13，019 字节

　　感染系统： windows 98以上版本

　　加壳类型： 未知壳

　　二、 病毒描述：

　　该病毒为木马类，病毒运行后复制自身到系统目录，并重命名为D93EE4FE.EXE，衍生病毒文件，并删除自身。 修改注册表，添加服务项，以达到随机启动的目的。删除注册表ERSvc服务，修改注册表ErrorReporting项，以关闭错误报告。主动连接网络更新病毒文件下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播，可以盗取用户敏感信息。

　　三、 行为分析：

　　1、病毒运行后，复制自身到系统目录下，衍生病毒文件，并删除自身：

　　%System32%\D93EE4FE.DLL

　　%System32%\D93EE4FE.EXE

　　2、注册表相关操作如下：

　　删除注册表ERSvc服务，以关闭错误报告：

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

　　键值： 字串： " Description " = "服务和应用程序在非标准环境下运行时允许错误报告。"

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

　　键值： 字串： "　DisplayName " = "Error Reporting Service"

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

　　键值： 字串： " ImagePath " = " %SystemRoot%\System32\svchost.exe -k netsvcs. "

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

　　键值： 字串： " ObjectName " = "LocalSystem"

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Parameters\

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Parameters

　　键值： 字串： " ServiceDll " =" %SystemRoot%\System32\ersvc.dll. "

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Security\

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Start

　　键值： DWORD： 2 （0x2）

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Type

　　键值： DWORD： 32 （0x20）

　　修改注册表值，以关闭ErrorReporting项：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DoReport

　　新： DWORD： 0 （0）

　　旧： DWORD： 1 （0x1）

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\ShowUI

　　新： DWORD： 0 （0）

　　旧： DWORD： 1 （0x1）

　　3、将D93EE4FE.DLL插入到除进程System 与进程System Idle Process两个进程之外的其它进程中。

　　4、创建服务，并以服务的方式达到随机启动的目的：

　　服务名称： D93EE4FE

　　显示名称：D93EE4FE

　　描述：D93EE4FE可执行文件的路径：C：\WINDOWS\system32\D93EE4FE.EXE -d

　　启动方式：自动

　　5、主动连接网络，下载相关病毒文件信息：协议：TCP地址：web.ip568.cn（60.172.210.2）

　　端口：80

　　进程：以插入D93EE4FE.DLL的EXPLORER.EXES 进程

　　下载文件： 更新文件update.txt、网页文件count.asp

　　6、该病毒通过恶意网站、其它病毒/木马下载传播，可以盗取用户敏感信息。

　　注释：

　　%Windir% WINDODWS所在目录

　　%DriveLetter% 逻辑驱动器根目录

　　%ProgramFiles% 系统程序默认安装目录

　　%HomeDrive% 当前启动系统所在分区

　　%Documents and Settings% 当前用户文档根目录

　　%Temp% 当前用户TEMP缓存变量；路径为：

　　%Documents and Settings%\当前用户\Local Settings\Temp %System32% 是一个可变路径；

　　病毒通过查询操作系统来决定当前System32文件夹的位置；

　　Windows2000/NT中默认的安装路径是　C：\Winnt\System32；

　　Windows95/98/Me中默认的安装路径是　C：\Windows\System；

　　WindowsXP中默认的安装路径是　C：\Windows\System32.

　　四、 清除方案：

　　1、使用安天木马防线可彻底清除此病毒（推荐），请到安天网站下载：www.antiy.com.

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址： www.antiy.com或http://www.antiy.com/download/index.htm.

　　（1） 使用安天木马防线或ATool中的“进程管理”关闭病毒进程XXX，XXX

　　（2） 强行删除病毒文件%System32%\D93EE4FE.DLL %System32%\D93EE4FE.EXE

　　（3） 恢复病毒修改的注册表项目，删除病毒添加的注册表项

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

　　键值： 字串： " Description " = "服务和应用程序在非标准环境下运行时允许错误报告。"