安天CERT

一、病毒标签：

病毒名称： Backdoor.Win32.Agent.dfa
病毒类型： 后门
文件 MD5： 74E51BA6ABEC64A48FF45EBEF14C9A45
公开范围： 完全公开
危害等级： 3
文件长度： 45,268 字节
感染系统： windows98以上版本
开发工具： Microsoft Visual Basic 5.0 / 6.0
加壳类型： 无

二、病毒描述：

该病毒发现于哈尔滨工业大学内，利用U盘、MP3等移动设备进行传播。病毒内含QQ65409685、llm is my son等信息，病毒在%system32%下生成fuck you.txt 的文本文档，内容为：Powered by LLM, QQ：65409685。经推断病毒作者并非QQ号为65409658的使用者，而是一种嫁祸行为。病毒运行后每隔60秒会黑屏一秒，黑屏是专门设计的窗体，黑屏时不能进行输入输出的操作等，并且在重启机后也会有黑屏现象。该病毒提升用户Guest权限为管理员级，并设置密码，启动telnet服务，可以远程控制用户计算机，但由于病毒作者设计上的漏洞，如果telnet服务本身被禁止的话是启动不了telnet服务的，并且需要NtLmSsp服务的支持。修改计算机系统名为：QQ65409685。病毒复制自身到多个目录下，在注册表中添加了三处启动项，但由于格式错误，只有run键下的可以随机启动。在windows XP系统下，重新启动后无法使用鼠标双击和右键打开”本地磁盘”。

三、行为分析：

略，详细部分请查阅原文。

四、杀毒

下载免费的AVL软件，并升级最新的病毒库即可实现对该病毒的查杀，有能力的同学也可以根据上述分析结果自行手工清除，AVL下载链接如下，并向提供该病毒样本的几个热心同学表示感谢！

ftp://202.118.224.241/software/Security/AntiVirus/Antiylabs/vds-avl-20061025.exe

哈工大校内用户直接下载，教育网用户使用hit作为用户名和密码，其他用户不提供下载。

作者: SwordLea
链接: http://bbs.hit.edu.cn/bbscon.php?board=Virus&id=8990

值得推荐的赚钱方式:

• Text Link Ads，每个链接价值15美元
• LinkWorth，通过链接赚美元

你还可能感兴趣的相关文章:

• Google AdSense 昨天付款，总统博客一年收入1000元
• 全面迎接SVN时代来临(zz)
• 创建新的WordPress博客后要做的16件事
• 关于Debug和Release之本质区别的讨论
• 理学与工学门类”最有学术影响力的国际期刊”

10 comments | Add One