什么是特洛伊病毒Win32.Abetear.A

最佳答案:

Win32/Abetear.A是一种特洛伊病毒，作为一个服务安装在被感染机器上。它会修改系统设置，从某类DNS查询中获取系统名称发送到远程服务器。它还会从远程服务器请求更新病毒。

详情介绍

Win32/Abetear.A是一种特洛伊病毒，作为一个服务安装在被感染机器上。它会修改系统设置，从某类DNS查询中获取系统名称发送到远程服务器。它还会从远程服务器请求更新病毒。

中文名

特洛伊病毒Win32.Abetear.A

外文名

Abetear A (CA Anti-Spyware)

别名

电脑病毒

病毒属性

特洛伊木马

危害性

中等危害 流行程度

特洛伊病毒Win32.Abetear.A其它名称

Abetear A (CA Anti-Spyware), TROJ_AGENT.VBS (Trend), AdClicker-FK (McAfee), Trojan.Vundo (Symantec), Trojan.Win32.Agent.aoy (Kaspersky)

特洛伊病毒Win32.Abetear.A感染方式

运行时，Win32/Abetear.A尝试生成并启动一个新的服务，显示"DomainService"名称：

如果不成功，特洛伊生成一个注册表键值，以确保下一次系统启动时生成以上服务，随后运行病毒：

HKCUSoftwareMicrosoftWindowsCurrentVersionRunDDC = ""

例如：如果特洛伊被安装在%System%rgdkhyum.exe，它就会生成以下注册表：

HKCUSoftwareMicrosoftWindowsCurrentVersionRunDDC = "%System%rgdkhyum.exe"

如果Abetear.A成功生成这个服务，它就会删除以上注册表，并作为一个服务运行病毒危害。

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。

特洛伊病毒Win32.Abetear.A危害

修改系统设置

Abetear.A生成以下注册表键值，防止Windows文件保护对话框显示：

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSFCDisable = 4

HKLMSOFTWAREPoliciesMicrosoftWindows NTWindows File ProtectionSFCDisable = 4

在Windows XP Service Pack 2 或更高版本上运行时，修改以下注册表，允许病毒通过Windows 防火墙：

HKLMSYSTEMCurrentControlSetServicesSharedAccessParameters

FirewallPolicyStandardProfileAuthorizedApplicationsList = ":*:Enabled:XXX"

例如：当它默认安装时，注册表可能修改为：

HKLMSYSTEMCurrentControlSetServicesSharedAccessParameters

FirewallPolicyStandardProfileAuthorizedApplicationsListC:Windows

System32rgdkhyum.exe = "C:WindowsSystem32rgdkhyum.exe:*:Enabled:XXX"

发送DNS Cache详细信息到远程服务器

Abetear.A 连接 23.244.141.185上的一台服务器，并发送假的任意生成的标识符和病毒版本号，服务器回应一个用户ID。这个用户ID与其它信息一起保存在以下注册表中：

HKLMSoftwareMicrosoftDomainService

如果Abetear.A 不作为一个服务运行，就会使用以下注册表替换：

HKCUSoftwareMicrosoftDomainService

它会定期的poll(或查询)这个服务器，看它是否仍然在运行。

下载更新

远程服务器可能给特洛伊的poll回应一个命令，让Abetear.A更新自己，还会回应给它一个下载更新的URL。Abetear将下载的文件保存到%Temp%aupddc.exe，并删除以下注册表：

HKCUSoftwareMicrosoftWindowsCurrentVersionRunDDC

随后特洛伊启动这个新下载的文件，并停止运行。

注：'%Temp%'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下路径"C:documents and SettingsLocal SettingsTemp"，或"C:WINDOWSTEMP"。

清除：

KILL安全胄甲Vet 30.8.3743 版本可检测/清除此病毒。