trojan.win32.Agent.ayqa.rgrk是木马么?
作者&投稿:舟届 (若有异议请与网页底部的电邮联系)
病毒介绍:
病毒名称:增强版“特工”木马变种(Trojan-Dropper.Win32.Agent.ayqa)
病毒类型:木马
影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista
病毒表现:
增强版“特工”木马变种一般通过网页挂马或下载器下载等途径感染用户计算机。一旦感染,它会在用户计算机释放以下文件:
%systemroot%\Fonts\qP2N8HTHkmGRq5.Ttf %system%\Rwad8sdv4e7V8xpKZ.dll
删除文件: %system%\verclsid.exe
并且创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E}\InprocServer32 @"C:\WINDOWS\system32\Rwad8sdv4e7V8xpKZ.dll" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E}\InprocServer32 ThreadingModel "Apartment" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell ExecuteHooks {F1455861-8C40-4095-ABD8-7BEAE5ADF92E}
首先,木马会创建线程释放Rwad8sdv4e7V8xpKZ.dll并调用其导出的JUFndB4pARSJ函数获得调试权限,这个导出函数还会创建线程建立一个死循环,在死循环中每隔两秒删除%system%\verclsid.exe文件并创建木马注册表项。之后此木马会创建ShellExecuteHooks启动项,使得Rwad8sdv4e7V8xpKZ.dll可以随explorer进程一同加载。,然后搜索并关闭网游进程。
释放的DLL运行后会检查宿主进程是否是某些安全软件或网络游戏,如果是则退出进程。之后通过消息钩子、游戏数据包拦截等方式获取大话西游2等网络游戏的账号密码。此外此木马DLL还会将用户用ACDSee、图片和传真以及记事本打开的图片或文本文件的内容截取并发送,窃取用户个人信息。
trojan.win32病毒专杀工具:
http://www.inteldown.cn/Software/Catalog14/1824.html
病毒名称:Trojan-Downloader.Win32.Small.czl(Kaspersky)
病毒别名:Trojan.Small.jeu(瑞星) Win32.TrojDownloader.Small.34542(毒霸)
病毒大小:27,890 字节
样本MD5:c710a10fd1bfee40e6980afceebf5d13
样本SHA1:8a3cb8c5c6d0a43e8f6330363ebf0a0a64ef1ffb
发现时间:2007.2
更新时间:2007.2
传播方式:恶意网页、其它病毒下载
很大可能是单机游戏的一些破解注册器之类文件。建议上传病毒文件至http://www.virustotal.com/zh-cn/检查。
急,中了trojan win32.agent.ayqa.rgrk木马了!~
病毒名称:增强版“特工”木马变种(Trojan-Dropper.Win32.Agent.ayqa)
病毒类型:木马
影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista
病毒表现:
增强版“特工”木马变种一般通过网页挂马或下载器下载等途径感染用户计算机。一旦感染,它会在用户计算机释放以下文件:
%systemroot%\Fonts\qP2N8HTHkmGRq5.Ttf %system%\Rwad8sdv4e7V8xpKZ.dll
删除文件: %system%\verclsid.exe
并且创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E}\InprocServer32 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E}\InprocServer32 @"C:\WINDOWS\system32\Rwad8sdv4e7V8xpKZ.dll" HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1455861-8C40-4095-ABD8- 7BEAE5ADF92E}\InprocServer32 ThreadingModel "Apartment" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell ExecuteHooks {F1455861-8C40-4095-ABD8-7BEAE5ADF92E}
首先,木马会创建线程释放Rwad8sdv4e7V8xpKZ.dll并调用其导出的JUFndB4pARSJ函数获得调试权限,这个导出函数还会创建线程建立一个死循环,在死循环中每隔两秒删除%system%\verclsid.exe文件并创建木马注册表项。之后此木马会创建ShellExecuteHooks启动项,使得Rwad8sdv4e7V8xpKZ.dll可以随explorer进程一同加载。,然后搜索并关闭网游进程。
释放的DLL运行后会检查宿主进程是否是某些安全软件或网络游戏,如果是则退出进程。之后通过消息钩子、游戏数据包拦截等方式获取大话西游2等网络游戏的账号密码。此外此木马DLL还会将用户用ACDSee、图片和传真以及记事本打开的图片或文本文件的内容截取并发送,窃取用户个人信息。
trojan.win32病毒专杀工具:
http://www.inteldown.cn/Software/Catalog14/1824.html
病毒名称:Trojan-Downloader.Win32.Small.czl(Kaspersky)
病毒别名:Trojan.Small.jeu(瑞星) Win32.TrojDownloader.Small.34542(毒霸)
病毒大小:27,890 字节
样本MD5:c710a10fd1bfee40e6980afceebf5d13
样本SHA1:8a3cb8c5c6d0a43e8f6330363ebf0a0a64ef1ffb
发现时间:2007.2
更新时间:2007.2
传播方式:恶意网页、其它病毒下载
很大可能是单机游戏的一些破解注册器之类文件。建议上传病毒文件至http://www.virustotal.com/zh-cn/检查。
急,中了trojan win32.agent.ayqa.rgrk木马了!~
avg,最好的木马软件了
先把你现在装的09qq卸载了,然后到安全模式里用好一点的杀毒软件全盘查杀一次看看,最好加上360安全卫士一块儿查,没是么病毒了在到qq官方网站上下载最新的qq版本(360里也有专门的软件下载)
