Win32.Troj.Agent
处理时间:2007-03-27 威胁级别:★
中文名称: 后台下载器 类型:木马 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个Downloader,能下载并运行黑客事先指定的文件。
1:拷贝文件
病毒运行后,会把自己拷贝到系统目录下
%WinDir%\SVCHOST.EXE
%WinDir%\MDM.EXE (Win32.Troj.Agent.hc)
2:添加注册表
病毒修改注册表不显示隐藏文件
HKLM\software\Windows\CurrentVersion\Explorer\Advanced
Hidden = "0x02"
HKLM\software\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowAll
CheckedValue = "0x00"
3:添加autorun
病毒会把自己拷贝到每个分区的根目录下,命名为RavMon.exe
并在Aurorun.inf里面添加以下内容
open=RavMon.exe
shellopen=打开(&O)
shellopenCommand=RavMon.exe
shellexplore=资源管理器(&X)
shellexploreCommand="RavMon.exe -e"
使病毒体能自动运行.
4:下载程序
SVCHOST.EXE会每隔3秒运行一次MDM.exe
MDM.exe会下载并运行黑客事前指定的文件