[转帖]警惕木马Trojan-Downloader.Win32.Bagle.f
转帖:警惕木马Trojan-Downloader.Win32.Bagle.f
来自安天实验室:
http://www.antiy.com/index.htm
病毒标签:
病毒名称: Trojan-Downloader.Win32.Bagle.f
病毒类型: 木马
文件 MD5: 41E345ADD5B37218D760FA9678DEEB12
公开范围: 完全公开
危害等级: 中
文件长度: 9,725 字节
感染系统: windows 98 及以上版本
开发工具: Visual C++
加壳类型: 未知壳
命名对照: Symentec[Trojan.Lodear.D]
Mcafee[W32/Bagle.gen]
病毒描述:
该病毒属木马下载类,属白鸽病毒家族的一个变种。病毒使用Windows BMP图标。病毒第一次运行后会打开%system%\ntimage.gif,并在注册表文件中新建一个键值,表示该主机已经被感染,病毒运行后复制自身到%system\anti_troj.exe%下,修改注册表文件,添加到启动项。病毒还会在%windir%目录下是释放一个名为“exefld”的文件夹,病毒尝试连接一些网站并下载病毒相关文件到“exefld”下运行。
行为分析:
1、病毒运行后会释放病毒文件: %System%\anti_troj.exe
2、修改注册表文件,添加启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\anti_tro
键值: 字串: "C:\WINNT\System32\anti_troj.exe"
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion
\Run\anti_troj
键值: 字串: "C:\WINNT\System32\anti_troj.exe"
3、病毒第一次运行后会打开%system%\ntimage.gif,并在注册表文件中添加键值,表示该主机已经被感染:
HKEY_USERS\Software\FirstRRRun\FirstRRRun
键值: DWORD: 1 (0x1)
4、病毒尝试连接一些网站并且下载病毒相关文件到本地运行%windir%exefld下运行,网站列表如下:
http://s89.***edu.tw http://www.a2zh***ngs.com
http://ph***g.org http://www.a***is.hu
http://www.***as-mode.de http://abt***fety.com
http://75***.ru http://***acentrum.pl
http://www.8***lan.hu http://www.a***ant-np.ru
http://okl***.co.jp http://fur***oba.info
http://ada***ue.net http://adopti***nada.ca
http://cco***tomadrid.org http://65.108.***.73
http://abt***safety.com http://tkd***.net
http://80.***.233.41 http://www.***.pl
http://www.***h.serwery.pl http://advente***up.com
http://www.***.co.il http://sacaft***rk.net
http://vi***.kei.pl http://agen***publicidadinternet.com
http://www.b***jndepot.com http://www.***oturystyka.artneo.pl
http://209.***.128.203 http://kep***.kz
http://www.t***trol.com.pl http://ahava.***e24.com
......
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用“任务管理器”关闭病毒进程。
(2) 删除病毒文件:%System%\anti_troj.exe 和 %windir%exefld
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\anti_tro
键值: 字串: "C:\WINNT\System32\anti_troj.exe"
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion
\Run\anti_troj
键值: 字串: "C:\WINNT\System32\anti_troj.exe"
HKEY_USERS\Software\FirstRRRun\FirstRRRun
键值: DWORD: 1 (0x1)
HKEY_USERS\Software\FirstRRRun\FirstRRRun
键值: DWORD: 1 (0x1)
附:
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+:
木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀:
采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
实时网络防护:
全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。 |
