|
| trojan.win32.agent.bi 分析 |
| 来源:网络 时间:2006-5-31 |
|
病毒标签:
病毒名称: trojan.win32.agent.bi
病毒类型: 木马
危害等级: 中
文件长度: 12,255 字节
感染系统: windows 9x 及以上版本
开发工具: visual c++
加壳类型: 未知壳
病毒描述:
该木马会修改注册表设置并删除系统中 mime 控制,该木马会修改注册表的 键值 ,删除某些 键值, 修改系统服务配置,达到随系统启动的目的。拷贝自身到 %system% 下,病毒名后两个字符不定。修改注册表中 clsid 下的键值,更改 ie 设置。
行为分析:
1 、修改注册表如下键值:
hkey_local_machine\system\controlset001\control
\servicecurrent\@
旧值: dword: 7 (0x7) 新值 : dword: 8 (0x8)
hkey_local_machine\system\controlset001\services\kmixer\enum
\count
旧值: dword: 0 (0) 新值 : dword: 1 (0x1)
hkey_local_machine\system\controlset001\services\kmixer\enum
\nextinstance
旧值: dword: 0 (0) 新值 : dword: 1 (0x1)
新建值如下:
hkey_local_machine\software\classes\clsid\\localserver32\@ 键值为病毒所在路径。 hkey_local_machine\system\controlset001\services\ 11f 咪 �# 泛闹 `i
\displayname
键值: 字串 : "network security service (nss)" hkey_local_machine\system\controlset001\services\ 11f 咪 �# 泛闹 `i
\errorcontrol
键值: dword: 0 (0)
hkey_local_machine\system\controlset001\services\ 11f 咪 �# 泛闹 `i\imagepath
键值:病毒所在路径
hkey_local_machine\system\currentcontrolset\services\ 11f 咪 �# 泛闹 `i
\displayname
键值 : 字串 : "network security service (nss)"
hkey_local_machine\system\currentcontrolset\services\ 11f 咪 �# 泛闹 `i
\objectname
键值 : 字串 : "localsystem"
2 、修改以下四种服务配置中的一种,把这个服务过程的主线程连接到服务控制管理程序中,并更新服务控制管理程序的状态信息,从而达到随系统启动的目的。
network security service
network security service (nss)
remote procedure call (rpc) helper
workstation netlogon service
3 、添加注册表中的 runservices 项和 applications 项 :
hkey_local_machine\software\microsoft\windows\currentversion
\runservices
hkey_local_machine\software\microsoft\windows\currentversion\
shellcompatibility\applications\
建值由释放的病毒体名决定 .
4 、大量修改如下键值:
hkey_current_user\clsid\\localserver32\
= <path>\<filename.exe>
5 、释放病毒体:
windows 2000 和 nt 下,位于 %windir%\system32\
windows 95 、 98 和 me 下,位于 %windir%\system32
windows xp 下,位于 %windir%\system32
6 、释放的病毒体名不定 , 从 "0123456789abcdef" 随机选取两个字符作为病毒名的
后两个字节。病毒体名前字符串为以下几种:
add api app atl cr cr d3 ie ip java mfc ms net nt sdk sys win
举例: addxy.exe
|
|
|
|
|
