Trojan.Spy.Win32.Agent.pi 等木马病毒清除解决方案
病毒名称: Trojan.Spy.Win32.Agent.pi
病毒类型: 后门
文件 MD5: 8533C7CACEACEB8FD7AA5E22631EF3C2
文件长度:284 KB (291,553 字节)
公开范围: 完全公开
危害等级: C
开发工具: Microsoft Visual C++ 6.0
加壳类型: 无壳
命名对照:
瑞星:Trojan.Spy.Win32.Agent.pi
二、 病毒描述:
该病毒为后门程序,是网络红娘所生成的服务端,运行后将连接网络接受黑客的远程控制。
三、 行为分析:
病毒运行后释放文件:
c:\WINDOWS\system32\RYAlauvryl.dat
Date: 8-4-2004 12:52 AM
Size: 221,184 bytes
c:\WINDOWS\system32\RYAlauvryl.exe
Date: 8-4-2004 12:52 AM
Size: 291,553 bytes
增加服务启动项目:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\locals Logs "Description"
Type: REG_SZ
Data: 收集本地计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\locals Logs "ImagePath"
Type: REG_EXPAND_SZ
Data: C:\WINDOWS\system32\RYAlauvryl.exe –service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\locals Logs "Description"
Type: REG_SZ
Data: 收集本地计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\locals Logs "ImagePath"
Type: REG_EXPAND_SZ
Data: C:\WINDOWS\system32\RYAlauvryl.exe –service
然后隐藏打开IE进程,通过该进程连接网络读取IP地址:
http://www.newying.com/root/RedGirl/IP/86151.html
连接该页面的IP地址等待控制。
久尚整理 更多关于Trojan.Spy.Win32.Agent.pi 等木马病毒清除解决方案 的文章
搜索:
