Win32.Troj.Agent.yk.28070病毒行为

发布网友 发布时间：2024-10-22 11:25

我来回答

共1个回答

热心网友 时间：2024-12-13 16:16

Win32.Troj.Agent.yk.28070病毒行为涉及多个操作，主要包括文件释放、注册表项添加、文件隐藏设置以及注册表项删除和映像劫持。病毒的活动如下：

1. 释放文件：

在“%windows%\\system32”目录下生成“systom.exe”。
在每个盘符根目录下创建“auToRun.inf”和“nx.exe”。

2. 开机自启动：

添加注册表项到“HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”，以启动“systom.exe”。

3. 禁用自动更新：

修改注册表以禁用“HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WindowsUpdate\\DisableWindowsUpdateAccess”。

4. 隐藏文件设置：

在注册表中设置“HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue”和“HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\NOHIDDEN\\CheckedValue”为特定值，以影响文件显示。

5. 破坏安全模式：

删除与安全模式相关的注册表项，以阻止系统进入安全模式。

6. 映像劫持：

在注册表中添加键值，指向“systom.exe”作为安全软件的调试器，影响其功能。

7. 远程连接与下载：

病毒会尝试连接特定网址，下载更多病毒或执行额外操作。

8. 通过DLL文件下载病毒：

下载的病毒文件以DLL形式存在，可能包含多个下载链接，指向恶意执行文件。

针对Win32.Troj.Agent.yk.28070病毒的应对措施包括：

1. 断网杀毒：确保网络环境安全，避免病毒传播。

2. 关闭进程：使用任务管理器结束可疑进程。

3. 全盘扫描：对所有硬盘执行全面病毒扫描，不仅限于C盘。

在应对病毒攻击时，建议使用专业的安全软件进行防护和清理，避免手工操作可能导致的安全风险。

这是一个下载者木马。他会从黑客网址下载大量的木马病毒，通过修改注册表、修改系统时间、映像劫持等方式破坏安全软件的正常运行。还会删除所有Ghost备份文件，感染所有网页文件、插入黑客网站的代码，并关闭含有“杀毒“、“木马”等字样的窗口，阻止用户寻找解决方法。