Backdoor.Win32.Agent.dfa分析(zz)

By Jiang | 12月 29, 2006

安天CERT

一、病毒标签:

病毒名称: Backdoor.Win32.Agent.dfa
病毒类型: 后门
文件 MD5: 74E51BA6ABEC64A48FF45EBEF14C9A45
公开范围: 完全公开
危害等级: 3
文件长度: 45,268 字节
感染系统: windows98以上版本
开发工具: Microsoft Visual Basic 5.0 / 6.0
加壳类型: 无

二、病毒描述:

该病毒发现于哈尔滨工业大学内,利用U盘、MP3等移动设备进行传播。病毒内含QQ65409685、llm is my son等信息,病毒在%system32%下生成fuck you.txt 的文本文档,内容为:Powered by LLM, QQ:65409685。经推断病毒作者并非QQ号为65409658的使用者,而是一种嫁祸行为。病毒运行后每隔60秒会黑屏一秒,黑屏是专门设计的窗体,黑屏时不能进行输入输出的操作等,并且在重启机后也会有黑屏现象。该病毒提升用户Guest权限为管理员级,并设置密码,启动telnet服务,可以远程控制用户计算机,但由于病毒作者设计上的漏洞,如果telnet服务本身被禁止的话是启动不了telnet服务的,并且需要NtLmSsp服务的支持。修改计算机系统名为:QQ65409685。病毒复制自身到多个目录下,在注册表中添加了三处启动项,但由于格式错误,只有run键下的可以随机启动。在windows XP系统下,重新启动后无法使用鼠标双击和右键打开”本地磁盘”。

三、行为分析:

略,详细部分请查阅原文。

四、杀毒

下载免费的AVL软件,并升级最新的病毒库即可实现对该病毒的查杀,有能力的同学也可以根据上述分析结果自行手工清除,AVL下载链接如下,并向提供该病毒样本的几个热心同学表示感谢!

ftp://202.118.224.241/software/Security/AntiVirus/Antiylabs/vds-avl-20061025.exe

哈工大校内用户直接下载,教育网用户使用hit作为用户名和密码,其他用户不提供下载。

作者: SwordLea
链接: http://bbs.hit.edu.cn/bbscon.php?board=Virus&id=8990

Topics: 软件使用 | 3,988 views | 11 Comments »


11 comments | Add One

  1. 杜罗华 - 12/29/2006 at 11:35 下午 #

    VB弄的玩意儿啊……现在弄个病毒什么的还真简单嘛……

  2. 痞子新 - 01/1/2007 at 10:27 上午 #

    新年快乐奥:)总统兄

  3. jiangzhanyong - 01/1/2007 at 9:57 下午 #

    新年快乐!痞子老兄的站点也可以访问了吧 :),网络基本恢复正常了~
    我一般是通过这个代理 http://hitchina.net/node/9 访问国外站点,有时候留言不太方便:(

  4. llkk - 04/22/2007 at 4:17 下午 #

    以前的哈工大VDS-AVL升级后不能启动了,一启动就出错退出…..老兄能否发个新版本的给我啊!!!!!

  5. Jiang - 04/23/2007 at 8:41 上午 #

    这个从安天实验室应该可以直接下载吧,他们的网址:http://antiy.com/

  6. llkk - 04/23/2007 at 3:56 下午 #

    它的网站我都去过无数次了,都没有啊!!!哈工大VDS-AVL是中文版的还带了个防火墙,我从去年一直用到现在,不知是不是安天给封了.升级后一启动就出错退出.教育网的我又下不了,这软件真是很好!!好无奈啊!!

  7. Jiang - 04/24/2007 at 9:23 上午 #

    回头我给你发一份吧。

  8. llkk - 04/24/2007 at 9:57 上午 #

    衷心的感谢!!!!谢谢!!!!!!!!!!

  9. llkk - 04/25/2007 at 11:29 上午 #

    我的网易邮箱不知能不能收到.换了个雅虎的容量更大些.谢谢站长了!!!!!

  10. Jiang - 04/25/2007 at 5:59 下午 #

    我自己的机器正在做一项测试,最近可能没法给你发,要少等两天,很抱歉。

  11. 高雄清潔 - 07/9/2010 at 10:29 上午 #

    現在到處都病毒!

LinkWorth
Hostgator

酷站链接 (Featured Links)

最新评论 (Recent Comments)

  • air jordan shoe: 不错,挺厉害的~~
  • Hairstyles: 原来链接这么重要!
  • Haircuts: 有空试一下看看
  • CHI Flat Iron: 哇,这么多插件啊,慢慢看!
  • 诗酒如画: 1)备份你的WordPress数据库 推荐用WordPress Database Backup在后台操作.下载备份的压缩包或者是传到自己邮箱里都可以. 如果直接在数据库中备份的话,记得选择UTF8编码,切记. 2)备份你的程序...
  • north face wholesale: en ,我会试一试的。

搜索 (Search)

合作伙伴

推荐站点 (Recommendations)

Partner links

WordPressChina
  • 原创博客联盟