中左trojan downloader sccash..點算好?

[原创]Trojan-Downloader.Win32.Agent.is

文档提交:千堆栈 提交时间:2005-4-24 14:52:06 原创作者:千堆栈





病毒名称：Trojan-Downloader.Win32.Agent.is(kaspersky)
　　　　　
病毒别名：Win32/TrojanDownloader.Agent.IS(Eset),Trj/Downloader.ALQ (Panda).

影响系统：windows系统　威胁级别：★★

基本特征:大小38,050字节,采用UPX压缩.


病毒行为：

1:在%WINDOWS%创建clfmon.exe,大小38050,属性I;

2:注册表添加项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion ShellRegId "clfmon"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run clfmon "C:\WINDOWS\clfmon.exe"

总结:

1:作为一个"Trojan-Downloader"类型的病毒,主要负责从远程下载文件,此处来看是负责下载一些色情内容.

2:清除这个病毒本身不难,但是更需要清除其相关下载的文件.


如何清除Trojan downloader？
作者: , 　出处:TechTarget,　责任编辑: 许琳,　
2005-04-11 17:12

　　


　　一个名为redrose的用户写道：“我采用Windows NT4.0 SP6作为DNS和网络服务器。它被感染上了Trojan horse downloader。我采用AVG Antivirus对系统进行了扫描和杀毒，但是没有效果。我还下载了一个Trojan hunter，它检测出了其它的Trojan文件，并进行了删除和重命名操作。但是，情况还是越来越糟。每次我对服务器进行扫描，AVG都会从相同的位置检测出并删除相同的Trojan文件。
　　一名叫做PeterMac的用户回复道：“新的Trojan病毒变得更聪明了。它们安装可以自动运行的loader，而且由于它们不具有特殊的签名，所以抗病毒软件无法发现它们。Trojan可以安装成为操作系统的一部分，而且只能在安全模式下才能被删除。为了清除你现在感染的病毒，你需要确定你到底感染了哪一种Trojan，然后去权威的反病毒网站寻找最好的应对方法。Trojan对网络来说可以是致命的。它们通过多种方式进行传播，而且在有些系统上无法显示。它们会一直存在，并重新感染那些你进行了杀毒的系统。为了应对这种类型的病毒发作，你需要将所有系统断开网络，并在确定已经清除病毒的情况下，一台一台重新连接回网络。
　　一名叫做Howard2nd的用户回复道：“在没有内部和外部防火墙的情况下，这种问题十分难以处理。Windows将一些文档归于“保护（Protected）”类，并将它们从cache保存到本地驱动器上。Trojan知道这些，并将自身的boot loader放入这些文件中。你删除了受感染的文档，重启Windows将重新装入这些被感染的文档，接着，Trojan病毒也将被重新装入。
　　“我们不知道你的网络的规模，因此我们也不清楚问题的严重性。将所有系统关闭，建立防火墙，并将设备一台一台连回——应该从服务器开始。如果你有在被感染前的备份，可以采用。如果你的备份只是数据备份（没有应用程序），在重新连入网络前，建议你重装系统以及所有补丁程序。记住在连网前运行IIS Lockdown 和 URLScan。一名叫做nerdking的用户回复道：“在我们的网络上也存在相似的问题。尽管我们的服务器没有感染Trojan，但一些客户机被感染了。通常当你发现了这一问题并清除了Trojan时，一些Trojan下载的恶意程序已经开始捣乱了。不仅这样，它会将自己隐藏道注册表的不同部分，这样，即使你清除了其中的一个，下次你重启的时候，它又将自己重新装入系统。
　　“我是采用如下步骤将一个系统恢复到安全、稳定的状态的：首先，将机器脱网，以安全模式重启，进行全面的病毒扫描。在安全模式下，运行spyware/adware sweepers，进行尽可能全面的杀毒，在每次扫描后，以安全模式重启。
　　“当spyware/adware sweepers清理完毕后，运行Hijack This以清除垃圾。采用这一程序时要注意。一旦内容被它删除，将不可恢复。在运行Hijack This的时候， Google是你最好的朋友。用Google搜索被Hijack This认为是可疑的内容，在进行删除操作前看看它们究竟是什么。象运行spyware/adware sweepers一样，每次运行Hijack This 扫描后都以安全模式重启，不断重复直到Hijack This 显示“clean”为止。
　　“在做过这一切以后，以正常模式重启系统，并重复进行上述操作，直到没有任何异常为止。这是一个漫长、费力的过程。”