请问trojan.win32.agent.ph是种什么木马？

显示全部楼层 · 2006-8-4 16:25:49

我也不知道粘条消息给你看看上面有杀的方法自己研究了祝你好运（你好象很久前就在问这个问题了。。。）Trojan.Win32.Agent的简要分析这个QQ病毒和以往的此类病毒最大的区别就是不是通过发送网址来让人点击进入，而是染毒计算机会自动向QQ好友发送病毒文件，而且病毒文件大小不定，发送的病毒文件名具有一定诱惑性，诸如：今年过年不收礼，收礼只收白骨精（搞笑版广告）.exe啊哈，网友发的超级搞笑FLASH，你看得懂吗.exe 接啊，快接啊，推荐给你看看.exe一个对你目前工作很有帮助的东东.exe网上电视（20个CCTV频道+36个省台+50个英文台，极力推荐）.exe等等。病毒文件图标是WINRAR的压缩包的图样。病毒运行后首先建立HKLM\Software\Classes\MSipv项，然后病毒创建自身副本到系统目录下：%System%\?.exe%System%\notepad?.exe%Windows%\System\RUNDLL32.EXE（如果是Windows 2000/XP）%Windows%\System32\RUNDLL32.EXE（如果是Windows 9x）并修改EXE和TXT的文件关联：HKLM\Software\Classes\exefile\shell\open\commandEXE文件关联被修改为“? %1 %*”HKLM\Software\Classes\txtfile\shell\open\commandTXT文件关联被修改为“notepad? %1”注：其中“?”不是单纯的一个空格，而是一个字符,是双字节ASCII码为“41643”。病毒感染系统后会显示一个提示框：“安装时检测到系统中某程序与本软件发生冲突，请先纠正该冲突，或选择另一台电脑上安装！”再注：病毒文件大小不固定，从文件内容来看好像是通过一些重复的信息来改变文件大小。此外，病毒还会检查被感染系统是否安装QQ，如果安装有QQ，病毒则通过注册表找到QQ.EXE所在路径，把正常的TIMPlatform.exe改名为TIMP1atform.exe，将病毒自身复制为TIMPlatform.exe。最后在注册表建立病毒标记：HKLM\Software\Classes\MSipv\MainSetupHKLM\Software\Classes\MSipv\MainUpHKLM\Software\Classes\MSipv\MainVer其中MainSetup和MainUp值相同，但不固定。病毒的清除由于病毒关联了EXE文件，我们建议这样处理：首先打开注册表编辑器或用来恢复文件关联的工具（如RegFix），先不要关闭（否则再次启动应用程序的时候使病毒又重新加载，或者将“.exe”的后缀名改为“.com”也可以。），然后通过任务管理器或KillBox或者是TroyanFindInfo等进程管理工具结束病毒Rundll32.exe的进程，接下来恢复EXE和TXT文件关联，最后再找到病毒文件删除掉：%System%\?.exe%System%\notepad?.exe%Windows%\System\RUNDLL32.EXE（如果是Windows 2000/XP）%Windows%\System32\RUNDLL32.EXE（如果是Windows 9x）还有一步，到QQ安装目录下，把病毒生成的TIMPlatform.exe删除，然后把TIMP1atform.exe改名为TIMPlatform.exe即可。注：推荐使用工具来恢复TXT文件关联。