Win32.Troj.Agent.yk.28070 - 王朝网络宽屏版

病毒名称(中文):

下载者28070

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马下载器

病毒长度:

28070

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个下载者木马。他会从黑客网址下载大量的木马病毒，通过修改注册表、修改系统时间、映像劫持等方式破坏安全软件的正常运行。还会删除所有Ghost备份文件，感染所有网页文件、插入黑客网站的代码，并关闭含有“杀毒“、“木马”等字样的窗口，阻止用户寻找解决方法。

1.木马释放如下文件：

%windows%\\system32\\systom.exe

%windows%\\system32\\auToRun.inf

在每个盘符的根目录下创建两个文件：auToRun.inf和nx.exe

2.添加如下注册表项，实现开机自启动

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\crsss@=%systemboot%\\system32\\Systom.exe

3.添加如下注册表项，禁用自动更新

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WindowsUpdate\\DisableWindowsUpdateAccess@=0x00000001

4.添加如下注册表项，禁止显示隐藏文件

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr@=0x00000001

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue@=0x0

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\NOHIDDEN\\Tex

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\NOHIDDEN\\CheckedValue@=0x00000002

5.删除如下注册表项，破环系统的安全模式

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL

HKLM\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Network\\{4D36E967-E325-11CE-BFC1-08002BE10318}

6.添加注册表，映像劫持，致使安全软件无法使用

HKLM\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\ImageFileExecutionOptions\\“*.*”\\Debugger@=%systemboot%\\system32\\Systom.exe

其中*.*为安全软件的文件名（例如avp.exe等）

7.该木马首先会连接如下网址：http://xx.5*****e.cn/tongji/tj.asp

8.病毒会读取远程文本文件下载病毒,通过http://xx.5*****e.cn/tool/down1.txt下载病毒

http://xx.5*****e.cn/gm/*.exe

9.病毒通过DLL文件进行下载病毒

第二次下载：

连接http://n.l**0.com/xx.dll，将内容保存到%systemboot%\\system32\\dpserio1.dll

这实际上是一个文本文件，内容为：

http://2**.13.**.1**/mh.exe

http://6**o.com/u10.asp

http://6**o.com/qq/qq1.asp

http://6**o.com/1021.asp

http://6**o.com/js.asp

http://2**.13.**.1**/ok.exe