檔案編號:CISRT2006029
病毒名稱:Trojan-Downloader.Win32.Agent.aqr(Kaspersky)
病毒別名:
病毒大小:31,744 字節(jié)
加殼方式:UPX
樣本MD5:e7addcce5060ab1b9e4ecf62ef8f64e1
發(fā)現(xiàn)時間:2006.08
更新時間:2006.08.28
關(guān)聯(lián)病毒:
傳播方式:通過惡意網(wǎng)站傳播,通過其它病毒/木馬下載
技術(shù)分析
==========
Realplayer.exe運行后復(fù)制自身到系統(tǒng)目錄%System%\Realplayer.exe,在%Windows%目錄下生成bat批處理刪除原文件:
CODE:[Copy to clipboard]:try
del "Realplayer.exe"
if exist "Realplayer.exe" goto try
del %0
Realplayer.exe釋放%System%\brlmon.dll,嘗試插入Explorer.exe進(jìn)程。
創(chuàng)建啟動項:
CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %System%\Realplayer.exe"
修改IE主頁:
CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.7939.com/"
設(shè)置注冊表信息:
CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown\info]
"vvad"="0"
以上注冊表信息和%System%\brlmon.dll文件大約每2秒會監(jiān)視恢復(fù)。
這個東西會結(jié)束下列進(jìn)程:
fint2005.exe
Unlocker.exe
unlockerassistant.exe
HijackThis.exe
DLLShow.exe
RogueCleaner.exe
DosTools.exe
Killbox.exe
uihost.exe
嘗試關(guān)閉窗口:
瑞星注冊表監(jiān)控提示
主動防御 警報
AVP
訪問網(wǎng)絡(luò),從update.Virussky.com獲得信息,嘗試從down.Virussky.com下載更新版本。
清除步驟
==========
1. 結(jié)束%System%\Realplayer.exe進(jìn)程
2. 結(jié)束%Windows%\Explorer.exe進(jìn)程
3. 通過任務(wù)管理器或其它進(jìn)程管理工具把%Windows%\Explorer.exe再運行起來,這樣%System%\brlmon.dll就沒有被加載了
4. 刪除文件:
%System%\Realplayer.exe
%System%\brlmon.dll
5. 刪除病毒添加的啟動項:
CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"
6. 刪除病毒添加的注冊表信息:
CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown]
7. 恢復(fù)IE主頁
病毒名稱:Trojan-Downloader.Win32.Agent.aqr(Kaspersky)
病毒別名:
病毒大小:31,744 字節(jié)
加殼方式:UPX
樣本MD5:e7addcce5060ab1b9e4ecf62ef8f64e1
發(fā)現(xiàn)時間:2006.08
更新時間:2006.08.28
關(guān)聯(lián)病毒:
傳播方式:通過惡意網(wǎng)站傳播,通過其它病毒/木馬下載
技術(shù)分析
==========
Realplayer.exe運行后復(fù)制自身到系統(tǒng)目錄%System%\Realplayer.exe,在%Windows%目錄下生成bat批處理刪除原文件:
CODE:[Copy to clipboard]:try
del "Realplayer.exe"
if exist "Realplayer.exe" goto try
del %0
Realplayer.exe釋放%System%\brlmon.dll,嘗試插入Explorer.exe進(jìn)程。
創(chuàng)建啟動項:
CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %System%\Realplayer.exe"
修改IE主頁:
CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.7939.com/"
設(shè)置注冊表信息:
CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown\info]
"vvad"="0"
以上注冊表信息和%System%\brlmon.dll文件大約每2秒會監(jiān)視恢復(fù)。
這個東西會結(jié)束下列進(jìn)程:
fint2005.exe
Unlocker.exe
unlockerassistant.exe
HijackThis.exe
DLLShow.exe
RogueCleaner.exe
DosTools.exe
Killbox.exe
uihost.exe
嘗試關(guān)閉窗口:
瑞星注冊表監(jiān)控提示
主動防御 警報
AVP
訪問網(wǎng)絡(luò),從update.Virussky.com獲得信息,嘗試從down.Virussky.com下載更新版本。
清除步驟
==========
1. 結(jié)束%System%\Realplayer.exe進(jìn)程
2. 結(jié)束%Windows%\Explorer.exe進(jìn)程
3. 通過任務(wù)管理器或其它進(jìn)程管理工具把%Windows%\Explorer.exe再運行起來,這樣%System%\brlmon.dll就沒有被加載了
4. 刪除文件:
%System%\Realplayer.exe
%System%\brlmon.dll
5. 刪除病毒添加的啟動項:
CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"
6. 刪除病毒添加的注冊表信息:
CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown]
7. 恢復(fù)IE主頁