Trojan-Downloader.Win32.VB.akf

Trojan-Downloader.Win32.VB.akf,木馬類病毒名稱,感染windows98以上版本,病毒運行後衍生病毒檔案並修改註冊表,會盜取網路遊戲“傳奇”、“魔獸”等個人信息。

病毒綜述

病毒名稱: Trojan-Downloader.Win32.VB.akf
病毒類型: 木馬
檔案 MD5: AE78400B48475717CC681326691C0248
公開範圍: 完全公開
危害等級: 中等
檔案長度: 8,192 位元組
感染系統: windows98以上版本
開發工具: Microsoft Visual Basic 5.0 / 6.0
加殼工具: UPX 0.89.6 - 1.02
命名對照: Symentec[無]
  Mcafee[無]

病毒描述

該病毒屬於木馬類病毒。病毒運行後衍生病毒檔案0.exe、2.exe、mswdm.exe、winsvc.exe到%system32%和kb235780m.log到%windir%。並且修改註冊表,添加啟動項以達到隨機啟動的目的。該病毒會盜取網路遊戲“傳奇”、“魔獸”等個人信息。
行為分析:
1、病毒釋放檔案:
%windir%\kb235780m.log
%system32%\0.exe
%system32%\2.exe Trojan-PSW.Wn32,Lmir.azv
%system32%\mswdm.exe
%system32%\winsvc.exe Trojan-Downloader.Win32.VB.akf
2、新建註冊表項
HKEY_CURRENT_USER\Software\WinRAR SFX
\C%%Program Files%WindowsMe
鍵值: 字元串: "C:\Program Files\WindowsMe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer\Run\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer\Run\KernelFaultCheck
鍵值: 字元串: "C:\WINNT\system32\mswdm.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\WinSvc
鍵值: 字元串: "C:\WINNT\system32\WinSvc.exe"
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%windir%\kb235780m.log
%system32%\0.exe
%system32%\2.exe
%system32%\mswdm.exe
%system32%\winsvc.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\WinRAR SFX
\C%%Program Files%WindowsMe
鍵值: 字元串: "C:\Program Files\WindowsMe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer\Run\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer\Run\KernelFaultCheck
鍵值: 字元串: "C:\WINNT\system32\mswdm.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\WinSvc
鍵值: 字元串: "C:\WINNT\system32\WinSvc.exe"

相關搜尋

熱門詞條

聯絡我們