首页 | 最新病毒 | 反病毒学院 | qq病毒专杀 | arp病毒 | MSN病毒 | auto病毒专杀 | U盘病毒 | downloader病毒 | 木马查杀 | 计算机病毒 | 最新漏洞   
您的位置: 首页 >> 木马查杀 >> 阅读资讯:Trojan-Downloader.Win32.Agent.hgs 木马查杀

Trojan-Downloader.Win32.Agent.hgs 木马查杀

[ 作者:Greysign | 更新日期:2008-2-14 13:37:02 | 阅读次数: ]

Trojan-Downloader.Win32.Agent.hgs 木马查杀

一、 病毒标签:
病毒名称: Trojan-Downloader.Win32.Agent.hgs
病毒类型: 木马

文件大小 :   18576 byte
文件类型 :   MS-DOS executable (EXE), OS/2 or MS Windows
MD5 :   24428572cd5c58c63c2e66bc0b29fec8
SHA1 :   12976293c8ec6a607d2584e42989aca8d3f4d773
公开范围: 完全公开
危害等级: C
开发工具: Microsoft Visual C++
加壳类型: eXPressor v1.3 -> CGSoftLabs (h)壳
命名对照: 

瑞星  Trojan.DL.Win32.Small.tor
金山毒霸  Win32.TrojDownloader.Agent.69632

二、 病毒描述:
该病毒为盗号木马,运行后释放BAT文件和REG文件注册启动项目,并通过DLL文件截取密码信息发送至网络。


三、 行为分析:
运行后在病毒程序同一目录下衍生文件(cmdd.bat)自杀:
:delit
del "C:\Documents and Settings\Administrator\桌面\MCS.exe"
if exist "C:\Documents and Settings\Administrator\桌面\MCS.exe" goto delit
del "cmdd.bat"

释放DLL文件:
c:\WINDOWS\system32\wminotify.dll
再释放文件:
c:\WINDOWS\system32\install.bat
这个BAT调用REG文件进行注册启动项目:
c:\WINDOWS\system32\On.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows NT\CurrentVersion\Winlogon\Notify\wminotify]
"DllName"="wminotify.dll"
"Asynchronous"=dword:00000001
"Impersonate"=dword:00000000
"Startup"="EventStartup"


截获到的密码信息发送至
http://www.asm32.cn/post.asp
参数:UNICODE "User=%s&Pass=%s"

解决方案:
删除文件:
 c:\WINDOWS\system32\install.bat
 c:\WINDOWS\system32\On.reg
 c:\WINDOWS\system32\wminotify.dll


删除启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wminotify

专杀下载

注:

%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%   = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
     %Windir%\       WINDODWS所在目录
%DriveLetter%\    逻辑驱动器根目录
%ProgramFiles%\    系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

www.newjian.com


Tags:Trojan-Downloader.Win32.Agent.hgs 木马查杀
来源:
上一篇:Trojan-Downloader.Win32.Agent.ibh 分析查杀  下一篇:“情人节”病毒解决方案全集
您的评论
用户名:新注册) 密码: 匿名评论 [所有评论]

·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为
热点资讯

精彩推荐

最新资讯

随机推荐