病毒标签：

　　病毒名称： Backdoor.Win32.Agent.xh

　　病毒类型： 后门

　　文件 MD5： CEF160D6333AED36C108EA10AF16FFF1

　　公开范围： 完全公开

　　危害等级： 3

　　文件长度： 119,440 字节

　　感染系统： windows98以上版本

　　开发工具： 未知壳

　　加壳类型： Microsoft Visual C++ 6.0 - 7.0

　　命名对照： 驱逐舰[backdoor.Xconf.21]

　　 BitDefender [Backdoor.Agent.XH]

　　病毒描述：

　　该病毒属后门类，病毒运行后衍生病毒文件到系统文件夹%system32%下，并在用户启动目录中新建一个批处理文件，该批处理文件的启动指向病毒的衍生文件；修改注册表，添加启动项，以达到随机启动的目的；病毒作为IEXPLORE.EXE的父进程插入子进程IEXPLORE.EXE中，但并不运行 IEXPLORE.EXE的主体程序。病毒运行后，连接网络，病毒作者可以远程控制中毒机器，进行新建、修改、删除文件，并可以盗取用户的敏感信息。

　　行为分析：

　　1、病毒运行后，衍生病毒文件：

　　%system%server.dll

　　%system%server.exe

　　%Documents and Settings%%用户名%「开始」菜单程序启动batfilename.bat

　　2、批处理文件batfilename.bat的启动指向病毒衍生文件：

　　start C:WINDOWSsystem32server.exe

　　3、修改注册表，添加启动项，以达到随机启动的目的：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled ComponentsXploit Server

　　值: 字符串: "stubpath "="C:WINDOWSsystem32server.exe"

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　值: 字符串: "Xploit Server "="C:WINDOWSsystem32server.exe"

　　4、病毒做为IEXPLORE.EXE的父进程插入子进程IEXPLORE.EXE中，但并不运行IEXPLORE.EXE的主体程序。

　　5、病毒运行后，连接网络：

　　208.172.44.62:80

　　GET /msdownload/update/v3-19990518/cabpool/windows-kb913433-x86-chs_d15ab3599021d25ed2a34ec2834fe2b6fe0da3d9.ex65

　　注： % System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C: WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

　　解决方案：

　　1、使用反病毒软件全盘查杀。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

　　(1) 用“进程管理”关闭病毒进程

　　IEXPLORE.EXE

　　(2) 删除病毒文件

　　%system%server.dll

　　%system%server.exe

　　%Documents and Settings%%用户名%「开始」菜单

　　程序启动batfilename.bat

　　(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled ComponentsXploit Server

　　值: 字符串: "stubpath "="C:WINDOWSsystem32server.exe"

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

　　CurrentVersionRun

　　值: 字符串: "Xploit Server "="C:WINDOWSsystem32server.exe"