beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

捕獲時(shí)間

2009-6-7

病毒癥狀

該樣本是使用“C”編寫的木馬下載器，由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲，長(zhǎng)度為“17,952 字節(jié)”，圖標(biāo)為“
”，病毒擴(kuò)展名為“exe”，主要通過(guò)“文件捆綁”、“下載器下載”、“網(wǎng)頁(yè)掛馬”等方式傳播，病毒主要目的為下載大量病毒并運(yùn)行�！　�
用戶中毒后，網(wǎng)絡(luò)運(yùn)行緩慢，出現(xiàn)大量未知進(jìn)程，windows系統(tǒng)無(wú)故報(bào)錯(cuò)等現(xiàn)象。
感染對(duì)象

Windows 2000/Windows XP/Windows 2003

傳播途徑

網(wǎng)頁(yè)木馬、文件捆綁、下載器下載

防范措施

已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶，無(wú)須任何設(shè)置，微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無(wú)論您是否已經(jīng)升級(jí)到最新版本，微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版，微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”，請(qǐng)直接選擇刪除處理（如圖1）；



          圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒（未升級(jí)）

如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本，微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)" Trojan-Downloader.Win32.Agent.bdzy”，請(qǐng)直接選擇刪除（如圖2）。




          圖2   微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒

對(duì)于未使用微點(diǎn)主動(dòng)防御軟件的用戶，微點(diǎn)反病毒專家建議：

1、手動(dòng)刪除以下文件：

%SystemRoot%\System32\init32m.exe　　

2、手動(dòng)修改以下注冊(cè)表：　　

鍵：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\　　
值：shell　　
數(shù)據(jù)：Explorer.exe　　

變量聲明：　　

%SystemDriver%　　　　　　　系統(tǒng)所在分區(qū)，通常為“C:\”　　
%SystemRoot%　　　　　　　　WINDODWS所在目錄，通常為“C:\Windows”　　
%Documents and Settings%　　用戶文檔目錄，通常為“C:\Documents and Settings”　　
%Temp%　　　　　　　　　　　臨時(shí)文件夾，通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”　　
%ProgramFiles%　　　　　　　系統(tǒng)程序默認(rèn)安裝目錄，通常為：“C:\ProgramFiles”

病毒分析

（1）復(fù)制自身為%SystemRoot%\System32\init32m.exe
（2）修改注冊(cè)表實(shí)現(xiàn)自啟動(dòng)
（3）訪問(wèn)病毒統(tǒng)計(jì)地址
（4）下載病毒，并且運(yùn)行　　

病毒創(chuàng)建文件：　　　　

%SystemRoot%\System32\init32m.exe　　　　

病毒修改注冊(cè)表：　

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell　　　　

病毒訪問(wèn)網(wǎng)絡(luò)：　　　　

http://69.50.***.135/?to=POIKL5&from=1&type=1
http://majorpa***ing.com/cj/programs.txt
http://majorpa***ing.com/cj/programs1.txt
http://majorpa***ing.com/cj/programs2.txt