win32.Hack.ProAgent.df

病毒别名： 处理时间：2006-08-24 威胁级别：★

中文名称： 病毒类型：黑客程序 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒为黑客后门病毒,中毒后会释放大量病毒文件,连接网络,并发送用户信息到指定邮箱,并监听特定端口，等待黑客连接。

1、病毒运行后，释放大量病毒文件，连接网络，收集用户信息发送到指定邮箱，释放文件如下:

C:DOCUME~1AdminLOCALS~1Tempserver..exe

%windows%server..exe

%windows%qservice.exe

%windows%services.dll

%windows%kurlmon.dll

%windows%k_urlmon.dll

%windows%msehk.dll

%system%szip.dll

%system%hookMpi.dll

%system%agnt_fps.exe

%system%agnt_mps.exe

%system%agnt_pnc.exe

%system%driverskeensense.sys

%system%driversksdevice.sys

其中server..exe、qservice.exe、services.dll为主要病毒文件。

2、查找系统中的反病毒软件，并关闭其服务进程。

3、添加注册表项

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

FireWall="C:WINDOWSServer..exe"

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]

qservices="C:WINDOWSServer..exe"

4、生成.bat文件删除自身。

5、插入浏览器进程，发送邮件。

6、浏览器中的病毒线程会不停的添加如下注册表项

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun] qservices="C:WINDOWSServer..exe"

• ·二氯化硫
• ·Win32.Hack.DCom.ad
• ·Win32.Troj.ReXuePSW.fa
• ·Win32.Troj.PSWZhengtu.s
• ·Win32.Troj.Clicker.ad
• ·Win32.Troj.PSWICBC.ac
• ·Win32.Troj.MimaThief.ei
• ·Win32.Troj.Downloader.d
• ·Win32.Troj.PSWQQ.gi
• ·Win32.Troj.Downloader.c