Trojan-Downloader.Win32.Agent.ue

编辑:灭亡网互动百科 时间:2020-01-28 21:37:24
编辑 锁定
本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
Trojan-Downloader.Win32.Agent.ue病毒属木马类,病毒运行后衍生病毒文件,修改注册表,添加启动项,以达到随机启动的目的,连接网络,下载大量病毒文件,并自动运行,修改。exe文件的关联文件,使可exe文件无法正常运行。
中文名
落雪变种
外文名
Trojan-Downloader.Win32.Agent.ue
属    性
病毒
类    型
木马

Trojan-Downloader.Win32.Agent.ue基本信息

编辑

Trojan-Downloader.Win32.Agent.ue病毒名称

Trojan-Downloader.Win32.Agent.ue

Trojan-Downloader.Win32.Agent.ue中文名称

落雪变种

Trojan-Downloader.Win32.Agent.ue病毒类型

木马

Trojan-Downloader.Win32.Agent.ue文件 MD5

D66859A23DA410C0CA9E8DAF387565B9

Trojan-Downloader.Win32.Agent.ue公开范围

完全公开

Trojan-Downloader.Win32.Agent.ue危害等级

5

Trojan-Downloader.Win32.Agent.ue文件长度

19,968 字节

Trojan-Downloader.Win32.Agent.ue感染系统

windows98以上版本

Trojan-Downloader.Win32.Agent.ue开发工具

Microsoft Visual C++ 6.0 DLL

Trojan-Downloader.Win32.Agent.ue加壳类型

tElock 0.99 - 1.0 private

Trojan-Downloader.Win32.Agent.ue命名对照

驱逐舰[Trojan.Downloader.8019]
BitDefender [Trojan.Downloader.Agent.UE]

Trojan-Downloader.Win32.Agent.ue行为分析

编辑

Trojan-Downloader.Win32.Agent.ue病毒运行后衍生病毒文件,

病毒运行后衍生病毒文件,连接网络下量病毒文件,并自动运行:
%Program Files%\Common Files\iexplore.pif
%Program Files%\Internet Explorer\iexplore.com
%WINDOWS%\1.com
%WINDOWS%\608769.dll
%WINDOWS%\608769m.bmp
%WINDOWS%\exeroute.exe
%WINDOWS%\explorer.com
%WINDOWS%\finder.com
%WINDOWS%\kb608769m.log
%WINDOWS%\winlogon.exe
%system32%\command.pif
%system32%\dlmain.dll
%system32%\dlmon.dll
%system32%\dxdiag.com
%system32%\finder.com
%system32%\msconfig.com
%system32%\regedit.com
%system32%\rundll32.com

Trojan-Downloader.Win32.Agent.ue添加启动项

添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值: 字串: "Trojan Program "="C:\WINDOWS\WINLOGON.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\@
新建键值: 字串: "winfiles"
原键值: 字串: "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew\Command
新建键值: 字串: "%SystemRoot%\system32\rundll32.com %SystemRoot%\system32\ syncui.dll,Briefcase_Create %2!d! %1"
原键值: 字串: "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\ syncui.dll,Briefcase_Create %2!d! %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellNew\Command
新建键值: 字串: "rundll32.com appwiz.cpl,NewLinkHere %1"
原键值: 字串: "rundll32.exe appwiz.cpl,NewLinkHere %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications
\iexplore.exe\shell\open\command\@
新建键值: 字串: ""C:\Program Files\Internet Explorer\iexplore.com" %1"
原键值: 字串: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\@
新建键值: 字串: ""C:\Program Files\Internet Explorer\iexplore.com""
原键值: 字串: ""C:\Program Files\Internet Explorer\iexplore.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell\cplopen\command\@
新建键值: 字串: "rundll32.com shell32.dll,Control_RunDLL "%1",%*"
原键值: 字串: "rundll32.exe shell32.dll,Control_RunDLL "%1",%*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command\@
新建键值: 字串: "%SystemRoot%\explorer.com"
原键值: 字串: "%SystemRoot%\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command\@
新建键值: 字串: "%SystemRoot%\system32\rundll32.com NETSHELL.DLL, InvokeDunFile %1"
原键值: 字串: "%SystemRoot%\system32\rundll32.exe NETSHELL.DLL, InvokeDunFile %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\@
新建键值: 字串: ""C:\Program Files\Internet Explorer\iexplore.com" %1"
原键值: 字串: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command\@
新建键值: 字串: ""C:\Program Files\Internet Explorer\iexplore.com" -nohome"
原键值: 字串: ""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command\@
新建键值: 字串: ""C:\Program Files\common~1\iexplore.pif" %1"
原键值: 字串: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\command\@
新建键值: 字串: "rundll32.com %SystemRoot%\system32\mshtml.dll,PrintHTML "%1""
原键值: 字串: "rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command\@
新建键值: 字串: ""C:\Program Files\common~1\iexplore.pif" -nohome"
原键值: 字串: ""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\@
新建键值: 字串: "%SystemRoot%\System32\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
原键值: 字串: "%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection
DefaultInstall 132 %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut\shell\open\command\@
新建键值: 字串: "finder.com shdocvw.dll,OpenURL %l"
原键值: 字串: "rundll32.exe shdocvw.dll,OpenURL %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\install\command\@
新建键值: 字串: "finder.com desk.cpl,InstallScreenSaver %l"
原键值: 字串: "rundll32.exe desk.cpl,InstallScreenSaver %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile\Shell\Generate Typelib\command\@
新建键值: 字串: ""C:\WINDOWS\system32\finder.com"
C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib "%1""
原键值: 字串: ""C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet\shell\open\command\@
新建键值: 字串: "finder.com url.dll,TelnetProtocolHandler %l"
原键值: 字串: "rundll32.exe url.dll,TelnetProtocolHandler %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\command\@
新建键值: 字串: "%SystemRoot%\system32\finder.com %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
原键值: 字串: "%SystemRoot%\system32\finder.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\@
新建键值: 字串: "iexplore.pif"
原键值: 字串: "IEXPLORE.EXE"

Trojan-Downloader.Win32.Agent.ue修改.exe文件

修改.exe文件的关联文件,使可exe文件无法正常运行。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
--------------------------------------------------------------------------------

Trojan-Downloader.Win32.Agent.ue清除方案

编辑
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线进程管理”关闭病毒进程
(2) 删除病毒文件
%Program Files%\Common Files\iexplore.pif
%Program Files%\Internet Explorer\iexplore.com
%WINDOWS%\1.com
%WINDOWS%\608769.dll
%WINDOWS%\608769m.bmp
%WINDOWS%\exeroute.exe
%WINDOWS%\explorer.com
%WINDOWS%\finder.com
%WINDOWS%\kb608769m.log
%WINDOWS%\winlogon.exe
%system32%\command.pif
%system32%\dlmain.dll
%system32%\dlmon.dll
%system32%\dxdiag.com
%system32%\finder.com
%system32%\msconfig.com
%system32%\regedit.com
%system32%\rundll32.com
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run"键值: 字串: "Trojan Program
"="C:\WINDOWS\WINLOGON.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\@
新建键值: 字串: "winfiles"
原键值: 字串: "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew\Command
新建键值: 字串: "%SystemRoot%\system32\rundll32.com
%SystemRoot%\system32\ syncui.dll,Briefcase_Create %2!d! %1"
原键值: 字串: "%SystemRoot%\system32\rundll32.exe
%SystemRoot%\system32\ syncui.dll,Briefcase_Create %2!d! %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellNew\Command
新建键值: 字串: "rundll32.com appwiz.cpl,NewLinkHere %1"
原键值: 字串: "rundll32.exe appwiz.cpl,NewLinkHere %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications
\iexplore.exe\shell\open\command\@
新建键值: 字串: ""C:\Program Files\Internet Explorer
\iexplore.com" %1"
原键值: 字串: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-
42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\@
新建键值: 字串: ""C:\Program Files\Internet Explorer
\iexplore.com""
原键值: 字串: ""C:\Program Files\Internet Explorer\iexplore.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell
\cplopen\command\@
新建键值: 字串: "rundll32.com shell32.dll,Control_RunDLL "%1",%*"
原键值: 字串: "rundll32.exe shell32.dll,Control_RunDLL "%1",%*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command\@
新建键值: 字串: "%SystemRoot%\explorer.com"
原键值: 字串: "%SystemRoot%\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command\@
新建键值: 字串: "%SystemRoot%\system32\rundll32.com NETSHELL.DLL, InvokeDunFile %1"
原键值: 字串: "%SystemRoot%\system32\rundll32.exe NETSHELL.DLL, InvokeDunFile %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\@
新建键值: 字串: ""C:\Program Files\Internet Explorer
\iexplore.com" %1"
原键值: 字串: ""C:\Program Files\Internet Explorer
\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell
\open\command\@
新建键值: 字串: ""C:\Program Files\Internet Explorer
\iexplore.com" -nohome"
原键值: 字串: ""C:\Program Files\Internet Explorer
\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell
\opennew\command\@
新建键值: 字串: ""C:\Program Files\common~1\iexplore.pif" %1"
原键值: 字串: ""C:\Program Files\Internet Explorer
\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\command\@
新建键值: 字串: "rundll32.com %SystemRoot%\system32
\mshtml.dll,PrintHTML "%1""
原键值: 字串: "rundll32.exe %SystemRoot%\system32
\mshtml.dll,PrintHTML "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open
\command\@
新建键值: 字串: ""C:\Program Files\common~1\iexplore.pif" -nohome"
原键值: 字串: ""C:\Program Files\Internet Explorer
\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\@
新建键值: 字串: "%SystemRoot%\System32\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"
原键值: 字串: "%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
\shell\open\command\@
新建键值: 字串: "finder.com shdocvw.dll,OpenURL %l"
原键值: 字串: "rundll32.exe shdocvw.dll,OpenURL %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\install\command\@
新建键值: 字串: "finder.com desk.cpl,InstallScreenSaver %l"
原键值: 字串: "rundll32.exe desk.cpl,InstallScreenSaver %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile\Shell\Generate Typelib\command\@
新建键值: 字串: ""C:\WINDOWS\system32\finder.com" C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib "%1""
原键值: 字串: ""C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet\shell\open\command\@
新建键值: 字串: "finder.com url.dll,TelnetProtocolHandler %l"
原键值: 字串: "rundll32.exe url.dll,TelnetProtocolHandler %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\command\@
新建键值: 字串: "%SystemRoot%\system32\finder.com %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
原键值: 字串: "%SystemRoot%\system32\finder.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\@
新建键值: 字串: "iexplore.pif"
原键值: 字串: "IEXPLORE.EXE"
词条标签:
计算机学 病毒 技术 互联网