Win32.Troj.Agent.yk.28070 - 王朝网络宽屏版

病毒名称中文：下载者28070

威胁级别★★☆☆☆

病毒类型木马下载器

病毒长度28070

影响系统Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为这是一个下载者木马。他会从黑客网址下载大量的木马病毒，通过修改注册表、修改系统时间、映像劫持等方式破坏安全软件的正常运行。还会删除所有Ghost备份文件，感染所有网页文件、插入黑客网站的代码，并关闭含有“杀毒“、“木马”等字样的窗口，阻止用户寻找解决方法。

1.木马释放如下文件：

%windows%\system32\systom.exe

%windows%\system32\auToRun.inf

在每个盘符的根目录下创建两个文件：auToRun.inf和nx.exe

2.添加如下注册表项，实现开机自启动

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\crsss @= %systemboot%\system32\Systom.exe

3.添加如下注册表项，禁用自动更新

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate\DisableWindowsUpdateAccess @=0x00000001

4.添加如下注册表项，禁止显示隐藏文件

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr @=0x00000001

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue @=0x0

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\Tex

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue @=0x 00000002

5.删除如下注册表项，破环系统的安全模式

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

6.添加注册表，映像劫持，致使安全软件无法使用

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\“*.*”\Debugger @=%systemboot%\system32\Systom.exe

其中*.*为安全软件的文件名（例如avp.exe等）

7.该木马首先会连接如下网址：http://xx.5*****e.cn/tongji/tj.asp

8.病毒会读取远程文本文件下载病毒,通过http://xx.5*****e.cn/tool/down1.txt下载病毒

http://xx.5*****e.cn/gm/*.exe

9.病毒通过DLL文件进行下载病毒

第二次下载：

连接http://n.l**0.com/xx.dll，将内容保存到%systemboot%\system32\dpserio1.dll

这实际上是一个文本文件，内容为：

http://2**.13.**.1**/mh.exe

http://6**o.com/u10.asp

http://6**o.com/qq/qq1.asp

http://6**o.com/1021.asp

http://6**o.com/js.asp

http://2**.13.**.1**/ok.exe

Worm.Win32.Troj.Agent病毒[1]！

而win32.troj这个系列，是木马系列的病毒，一般是引导安装的

中病毒或者木马话，一般会修改你的注册表，让你每次开机的时候都会自动生成一些病毒或木马程序，甚至启动某些服务，禁用相关的安全工具。单纯的手工删除是完全没有用处的，还是要依靠工具的帮助。病毒修改的键值可能是HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下的某些键，你可以去看看这个键值下面有没有可疑的值，如果有就手动删掉。

第一，必须断网杀毒，就是说不要连上网络

第二，将所有可以关闭的进程关闭，即使用任务管理器，将所有可以结束的进程结束掉。

第三，要所有硬盘都杀一遍，不要只查杀C盘。