木马Backdoor.Win32.Agent.aga分析与清除

一、 病毒标签：

病毒名称： Backdoor.Win32.Agent.aga

病毒类型： 木马类

文件 MD5： 268，288 字节

公开范围： 完全公开

危害等级： 3

文件长度： 148052C2649062351B1BA6BC46499E6B

染系统： windows 98以上版本

开发工具： Borland Delphi6.0 - 7.0

加壳类型： 无

二、 病毒描述：

该病毒为木马类，病毒运行后复制自身到系统目录，并重命名为mssnger.exe. 修改注册表，添加启动项，添加启动项，以达到随机启动的目的，。禁用自动更新与系统安全设置服务， 禁用Intemet连接共享和防火墙服务。主动连接网络，下载相关病毒文件信息；等待病毒控制端连接。控制端可操作控制用户电脑进行屏幕监视、键盘记录、捕捉视频、发出DDOS功击、文件操作等。

三、 行为分析：

1、病毒运行后，复制自身到系统目录下：

%System32%\mssnger.exe

2、对注册表进行修改：

（1）添加启动项，以达到随机启动的目的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键值： 字串：" Windows Logon Service " = "%System32%\mssnger.exe "

（2）禁用自动更新与系统安全设置服务

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start

新： DWORD： 4 （0x4）

旧： DWORD： 2 （0x2）

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start

新： DWORD： 4 （0x4）

旧： DWORD： 2 （0x2）

（3）添加防火墙默认放行列表

HKEY_CURRENT_USER\Software\Microsoft\OLE

键值： 字串：" Windows Logon Service " = "mssnger.exe"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\

FirewallPolicy\StandardProfile\AuthorizedApplications\List

键值： 字串："默认" = "：*：Enabled：Windows Logon Service"

（4）禁用Intemet连接共享和防火墙服务

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch

新： DWORD： 21 （0x15）

旧： DWORD： 20 （0x14）

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Start

新： DWORD： 4 （0x4）

旧： DWORD： 2 （0x2）

3、主动连接网络，下载相关病毒文件信息；等待病毒服务端连接

协议：TCP

地址：203.69.52.141

端口：3453

进程：mssnger.exe

4、该病毒通过恶意网站、其它病毒/木马下载传播，可以接受控制端控制，控制端可操作控制用户电脑进行屏幕监视、键盘记录、捕捉视频、发出DDOS功击、文件操作等。

注释：

%Windir% WINDODWS所在目录

%DriveLetter% 逻辑驱动器根目录

%ProgramFiles% 系统程序默认安装目录

%HomeDrive% 当前启动系统所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% 当前用户TEMP缓存变量；路径为：

%Documents and Settings%\当前用户\Local Settings\Temp

%System32% 是一个可变路径；

病毒通过查询操作系统来决定当前System32文件夹的位置；

Windows2000/NT中默认的安装路径是　C：\Winnt\System32；

Windows95/98/Me中默认的安装路径是　C：\Windows\System；

WindowsXP中默认的安装路径是　C：\Windows\System32.

四、 清除方案：

1、使用安天木马防线可彻底清除此病毒（推荐），请到安天网站下载：www.antiy.com .

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址： www.antiy.com或http://www.antiy.com/download/index.htm.

（1） 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

（2） 删除病毒文件%system%\mssnger.exe

（3） 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键值： 字串：" Windows Logon Service " = "%System32%\mssnger.exe "

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start

新： DWORD： 4 （0x4）

旧： DWORD： 2 （0x2）

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start

新： DWORD： 4 （0x4）

旧： DWORD： 2 （0x2）

HKEY_CURRENT_USER\Software\Microsoft\OLE

键值： 字串：" Windows Logon Service " = "mssnger.exe"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\

FirewallPolicy\StandardProfile\AuthorizedApplications\List

键值： 字串："默认" = "：*：Enabled：Windows Logon Service" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch

新： DWORD： 21 （0x15）

旧： DWORD： 20 （0x14）

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Start

新： DWORD： 4 （0x4）

旧： DWORD： 2 （0x2）