Win32/Abetear.A是一种特洛伊病毒,作为一个服务安装在被感染机器上。它会修改系统设置,从某类DNS查询中获取系统名称发送到远程服务器。它还会从远程服务器请求更新病毒。
特洛伊病毒Win32.Abetear.A介绍
Win32/Abetear.A是一种特洛伊病毒,作为一个服务安装在被感染机器上。它会修改系统设置,从某类DNS查询中获取系统名称发送到远程服务器。它还会从远程服务器请求更新病毒。
特洛伊病毒Win32.Abetear.A其它名称
Abetear A (CA Anti-Spyware), TROJ_AGENT.VBS (Trend), AdClicker-FK (McAfee), Trojan.Vundo (Symantec), Trojan.Win32.Agent.aoy (Kaspersky)
特洛伊病毒Win32.Abetear.A感染方式
运行时,Win32/Abetear.A尝试生成并启动一个新的服务,显示"DomainService"名称:
如果不成功,特洛伊生成一个注册表键值,以确保下一次系统启动时生成以上服务,随后运行病毒:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunDDC = ""
例如:如果特洛伊被安装在%System%rgdkhyum.exe,它就会生成以下注册表:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunDDC = "%System%rgdkhyum.exe"
如果Abetear.A成功生成这个服务,它就会删除以上注册表,并作为一个服务运行病毒危害。
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。
特洛伊病毒Win32.Abetear.A危害
修改系统设置
Abetear.A生成以下注册表键值,防止Windows文件保护对话框显示:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSFCDisable = 4
HKLMSOFTWAREPoliciesMicrosoftWindows NTWindows File ProtectionSFCDisable = 4
在Windows XP Service Pack 2 或更高版本上运行时,修改以下注册表,允许病毒通过Windows 防火墙:
HKLMSYSTEMCurrentControlSetServicesSharedAccessParameters
FirewallPolicyStandardProfileAuthorizedApplicationsList = ":*:Enabled:XXX"
例如:当它默认安装时,注册表可能修改为:
HKLMSYSTEMCurrentControlSetServicesSharedAccessParameters
FirewallPolicyStandardProfileAuthorizedApplicationsListC:Windows
System32rgdkhyum.exe = "C:WindowsSystem32rgdkhyum.exe:*:Enabled:XXX"
发送DNS Cache详细信息到远程服务器
Abetear.A 连接 23.244.141.185上的一台服务器,并发送假的任意生成的标识符和病毒版本号,服务器回应一个用户ID。这个用户ID与其它信息一起保存在以下注册表中:
HKLMSoftwareMicrosoftDomainService
如果Abetear.A 不作为一个服务运行,就会使用以下注册表替换:
HKCUSoftwareMicrosoftDomainService
它会定期的poll(或查询)这个服务器,看它是否仍然在运行。
下载更新
远程服务器可能给特洛伊的poll回应一个命令,让Abetear.A更新自己,还会回应给它一个下载更新的URL。Abetear将下载的文件保存到%Temp%aupddc.exe,并删除以下注册表:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunDDC
随后特洛伊启动这个新下载的文件,并停止运行。
注:'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:documents and SettingsLocal SettingsTemp",或"C:WINDOWSTEMP"。
清除:
KILL安全胄甲Vet 30.8.3743 版本可检测/清除此病毒。
