标题:
[转帖]警惕木马Trojan-Spy.Win32.Zagaban.h
[打印本页]
作者:
h24arb
时间:
2006-1-6 17:19
标题:
[转帖]警惕木马Trojan-Spy.Win32.Zagaban.h
转帖:警惕木马Trojan-Spy.Win32.Zagaban.h
来自安天实验室:
http://www.antiy.com/index.htm
病毒标签:
病毒名称: Trojan-Spy.Win32.Zagaban.h
病毒类型: 木马
文件 MD5: E2C17360B848B2BAA263B1BBFD68E01B
公开范围: 完全公开
危害等级: 中
文件长度: 12,800 字节
感染系统: windows 98 以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 未知壳
命名对照: Symentec[无]
Mcafee[无]
病毒描述:
该病毒属木马类,主要以窃取用户一些敏感信息为主。病毒运行后会复制自身到%system%ipreg.exe,并释放病毒相关文件%system%spdr.dll ,而后病毒修改注册表文件,添加启动项,达到随系统启动的目的。病毒运行后尝试窃取某些信息,该病毒对用户有一定的危害。
行为分析:
1、病毒运行后复原病毒体到:%system%ipreg.exe并释放病毒文件:%system%spdr.dll
2、修改注册表文件,添加到启动项,达到随系统启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值:字串:"ipreg" = "%SYSTEM\ipreg.exe"
3、病毒尝试窃取以下一些信息,或者和以下网站相关的信息,如:账号、密码 ,网站列表如下:
www.alumnimap.com/css/index.php bancoetcheverria.es
abbeyinternational.com bancogallego.es
anoffshore.com bancogui.es
arquired.es bancoherrero.com
aurora.es bancoinversion.es
bancaja.es bancopastor.es
bancaonline.es bancopopular.es
bancoandalucia.es bancopopular-e.com
bancoasturias.com bancosantander.es
bancoatlantico.es bancourquijo.es
bancodemurcia.es bancozaragozano.es
bancodevalencia.es bancsabadell.es
banesto.es caja-granada.es
banif.es cajaguadalajara.biz
bankoa.es caja-ingenieros.es
bankoanet.com cajalaboral.com
bankpyme.es cajalaboral.es
bansalease.com cajamadrid.es
barclays.es cajamadridempresas.es
batlantico.es cajamar.es
bbi.co.im cajamurcia.es
bbk.es cajanavarra.es
bbva.es cajarioja.es
bbv.es cajarural.com
bbvanet.com cajasanfernando.es
bbvanetoffice.com cajasegovia.es
bde.es cajastur.es
bes.es cajasur.es
bgnetplus.com cajavital.es
bibm.ad cam.es
cai.es caser.es
caixabank.ad casyc.es
caixacat.es ccm.es
caixacatalunya.es cconline.es
caixa-enginyers.com ceca.es
caixagirona.es ruralcaja.es
caixaguissona.es citibank.com
caixamanlleu.es citibank.es
caixamanresa.com clavenet.net
caixapenedes.es creditandorra.ad
caixasabadell.net e-credit.ad
caixaterrassa.es elmonte.es
cajaactiva.es etrade.com
cajabadajoz.es e-pueyo.com
cajacaminos.es eurocredito.es
cajacampo.es ebankinter.com
cajacampo.org ebankinter.es
cajacanarias.es fibanc.es
cajacantabria.com grupobbva.com
cajacirculo.com gruposantander.es
cajacirculo.es halifax.es
cajadeavila.es hispamer.es
cajadeburgos.es homecem.com
cajaen.es ibercaja.es
cajaespana.es ibercajadirecto.com
cajaextremadura.es ingdirect.es
ksk-es.de cash
kutxa.es wonadoo
kutxa.net telefonica
lacajadecanarias.es tiscali
lloydstsb.es teleline
lacaixa.es inica
lacaixa.com mixmail
mortonmanagement.com banc
oficinadirecta.com caja
patagon.es bank
solbank.com wire
unicaja.es transfer
univia.es hsbc
uno-e.com citi
ebay trade
yahoo ing
terra empressa
hotmail money
msn cash
money wire
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用“任务管理器”关闭病毒进程
(2) 删除病毒文件
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
附:
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+:
木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀:
采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
实时网络防护:
全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。
欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/)
Powered by Discuz! 7.2
