Win32.Troj.Agent

处理时间：2007-03-27 威胁级别：★

中文名称： 后台下载器 类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个Downloader，能下载并运行黑客事先指定的文件。

1:拷贝文件

病毒运行后，会把自己拷贝到系统目录下

%WinDir%\SVCHOST.EXE

%WinDir%\MDM.EXE (Win32.Troj.Agent.hc)

2:添加注册表

病毒修改注册表不显示隐藏文件

HKLM\software\Windows\CurrentVersion\Explorer\Advanced

Hidden = "0x02"

HKLM\software\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowAll

CheckedValue = "0x00"

3:添加autorun

病毒会把自己拷贝到每个分区的根目录下,命名为RavMon.exe

并在Aurorun.inf里面添加以下内容

open=RavMon.exe

shellopen=打开(&O)

shellopenCommand=RavMon.exe

shellexplore=资源管理器(&X)

shellexploreCommand="RavMon.exe -e"

使病毒体能自动运行.

4:下载程序

SVCHOST.EXE会每隔3秒运行一次MDM.exe

MDM.exe会下载并运行黑客事前指定的文件