Trojan-Downloader.Win32.Agent.blm病毒分析

一、病毒相关分析：
      病毒标签：
        病毒名称：Trojan-Downloader.Win32.Agent.blm
        病毒类型：木马下载者
        危害级别：3
        感染平台：Windows
        病毒大小：20,992(字节)
        SHA1　　：50dff77957d2a7b7797bf7f797feaa4c3807936d
        加壳类型：无
        开发工具：VC
     病毒行为：
        1、程序运行后会下载文件：
           http://2.jo*****.com/test.cer
           并根据test.cer中的地址下载其他文件。
        2、test.cer内容如下：
           http://60.173.*****/a1.exe
           http://60.173.*****/a2.exe
           http://60.173.*****/a3.exe
           http://60.173.*****/a4.exe
           http://60.173.*****/a5.exe 链接失效
           http://60.173.*****/a6.exe
           http://60.173.*****/a7.exe
           http://60.173.*****/a8.exe
           http://60.173.*****/a9.exe
           http://60.173.*****/a10.exe
           http://60.173.*****/a11.exe
           http://60.173.*****/a12.exe
           http://60.173.*****/a13.exe
           http://60.173.*****/a14.exe
           http://60.173.*****/a15.exe
           http://60.173.*****/a16.exe
           http://60.173.*****/a17.exe
           http://60.173.*****/a18.exe
           http://60.173.*****/a19.exe
           http://60.173.*****/a20.exe
           http://60.173.*****/a21.exe
           http://60.173.*****/a22.exe
        3、下载的文件复制到该程序同目录下，并命名为3.tmp、4.tmp、5.tmp至F.tmp，然后运行下载的文件。
        4、下载的文件中有一个会添加如下注册表项：
           注册表键： HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
           注册表值： PendingFileRenameOperations          
           类型: REG_MULTI_SZ
           值： \??\C:\WINDOWS\庆贺十七大祖国越来越好
        5、下载的大部份为盗号木马和木马下载者

 
 二、解决方案
    推荐方案：
    　  　  由于下载恶意程序很多，手动查杀会相对繁琐，建议安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新
    　  　  病毒库，并进行全盘扫描。
    　  　  超级巡警下载地址：/page/d2007/1016/36115.html
 
 
三、安全建议
　　     1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　     3、使用超级巡警的补丁检查功能，及时安装系统补丁。
　　     4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设置为可写或可控制。
　　     5、禁用不必要的服务。
　　     6、及时更新常用软件，尤其是聊天工具。
　　     7、不要随意下载不安全网站的文件并运行。
　　     8、下载和新拷贝的文件要首先进行查毒。
　　     9、不要轻易打开即时通讯工具中发来的链接或可执行文件。
　　     10、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。

 
  注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中该变
　　 量指%Windir%\System32。其它：
　　     %SystemDrive% 　　     　　 系统安装的磁盘分区
　　     %SystemRoot% = %Windir% 　　WINDODWS系统目录
　　     %ProgramFiles%　 　 　　　　应用程序默认安装目录
　　     %AppData% 　　     　　     应用程序数据目录
　　     %CommonProgramFiles%　　    公用文件目录
　　     %HomePath% 　　     　　    当前活动用户目录
　　     %Temp% =%Tmp% 　　     　　 当前活动用户临时目录
　　     %DriveLetter% 　　     　　 逻辑驱动器分区
　　     %HomeDrive% 　　　     　　 当前用户系统所在分区 

最新相关文章

• ·认识映象劫持技术原理与解决办法
• ·大水牛下载者分析及手工清除办法
• ·计算机病毒中毒症状、预防和系统恢复
• ·mdm.exe专杀以及处理方法
• ·手工清除病毒mdm.exe和RavMon.exe
• ·mdm.exe病毒的解决方法
• ·不再草木皆兵 三招对付捆绑木马！
• ·如何清除Taskmgr.exe病毒
• ·taskmgr.exe进程CPU占用率高的原因
• ·taskmgr.exe系统进程及相关病毒介绍
• ·QQ“缘”病毒taskmgr.exe狂占CPU内存
• ·警惕伪SoundMan.exe病毒 SoundMan.exe病毒清除办
• ·巧治Vista下U盘自动运行病毒方法
• ·计算机病毒的说明、预防和恢复
• ·病毒反抗杀毒软件主要手段
• ·经典九招 防止自动播放引来病毒