【原创】auto.exe病毒分析——Trojan.Win32.Agent.zih
【原创】auto.exe病毒分析——Trojan.Win32.Agent.zih
作者:UFO不幸外人(转载请注明)
文章地址:http://blog.sina.com.cn/s/blog_56b232db010080d7.html
欢迎浏览我的blog:http://blog.sina.com.cn/ufovirus
基本资料:
1、样本文件名:auto.exe
2、样本大小:17459B
3、样本MD5:4817407ec49536e00a378cce367b0070
4、样本加壳方式:无壳
5、编写语言:未知
6、病毒名称:
卡巴斯基(Kaspersky):未知
瑞星(rising):Trojan.Win32.Agent.zih
详细资料:
1、文件变化:
(1)添加病毒文件:
C:\Windows\System32\53819E3F.DLL(32768、Trojan.Win32.Agent.zhz)
C:\Windows\System32\E5A5E50A.EXE(17459、Trojan.Win32.Agent.zih)
X:\autorun.inf
X:\auto.exe(17459、Trojan.Win32.Agent.zih)
(2)Autorun.inf文件内容:
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
2、注册表变化:
(1)禁止显示所有文件及文件夹
项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
键名:CheckedValue
原键值:0x00000001
新键值:0x00000000
(2)添加服务项目:
服务名称:D208120A
服务启动文件:C:\WINDOWS\system32\E5A5E50A.EXE -k
清楚方法:
1、使用冰刃(IceSword)强制删除以下文件:
C:\Windows\System32\53819E3F.DLL
C:\Windows\System32\E5A5E50A.EXE
2、重新启动计算机,不触发autorun.inf,使用冰刃(IceSword)删除以下文件:
X:\autorun.inf
X:\auto.exe
3、使用SRE(System Repair Engineer)删除以下服务:
服务名称:D208120A
服务启动文件:C:\WINDOWS\system32\E5A5E50A.EXE -k
[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; TencentTraveler ; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; InfoPath.2)
