Adware/Slagent

Adware/Slagent

病毒长度：17,408 Bytes

病毒类型：木马

危害等级：*

影响平台：Win9X/2000/XP/NT/Me/2003

Adware/Slagent是用VC++编写并经UPX压缩的木马，它试图杀死各类反病毒进程，并有能力从特定的URL下载自身的更新文件。

传播过程及特征：

1.插入下列文件：

%Windir%NavpmcUninstall.exe

%Windir%NavpmcNavpmc.exe

%Windir%Navpmc2_info_persist

%Windir%Navpmc2_navpmc.dll

2.修改注册表：

/添加键值：

"cpntmgc" = "%windows%

avpmc

avpmc.exe"

"MC" = ""

到注册表：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

/添加键值:

"UninstallString" = "%windows%

avpmc

avpmc.exe"

"DisplayName" = "navpmc"

到注册表：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionUnInstall

/添加下列子键：

HKEY_CLASSES_ROOTTypeLib{BA49BD6A-039C-428E-AF33-8C1288D75A7B}

HKEY_LOCAL_MACHINESOFTWARECLASSESMagicControl.MagicComponent.1

HKEY_LOCAL_MACHINESOFTWARECLASSESMagicControl.MagicComponent

HKEY_LOCAL_MACHINESOFTWARECLASSESCLSID{D7A82A12-05F5-42D8-B30D-6EF995075D2D}

HKEY_LOCAL_MACHINESOFTWARECLASSESInterface{6D3F48F4-B40A-4C3F-A95C-85E23C3A8A91}

HKEY_LOCAL_MACHINESOFTWARECLASSESTypeLib{BA49BD6A-039C-428E-AF33-8C1288D75A7B}

3.校验是否能连接到指定的站点，并能从站点下载内容。

4.试图结束下列进程：

Symproxysvc.exe

Smc.exe

Persfw.exe

Agentw.exe

Zonealarm.exe

Blackice.exe

注：%Windir%为变量，一般为C:Windows 或 C:Winnt；

%System%为变量，一般为C:WindowsSystem (Windows 95/98/Me),

C:WinntSystem32 (Windows NT/2000), 或

C:WindowsSystem32 (Windows XP)。