Win32.Troj.Agent.um.401408

病毒名称(中文):

广告弹射器401408

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

广告软件

病毒长度:

401408

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个广告木马程序变种。它会阻止安全软件向用户报告系统异常，并自动登录木马种植者指定的网页，为它们“贡献”流量。此木马还具有自动更新功能。

(1)生成文件

%windir%\mwinsys.ini

%sys32dir%\AlxRes070826.exe

%sys32dir%\inf\scrsys070826.scr

%sys32dir%\inf\scrsys16_070826.dll

%sys32dir%\winsys16_070826.dll

%sys32dir%\winsys32_070826.dll

D:\myplayer.com

通过c:\myDelm.bat删除自身

(2)添加或修改注册表项

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MainCheck_Associations"no"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\runUserinit"rundll32.exe%sys32dir%\winsys16_070826.dllstart"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CommandProcessorAutoRun"""d:\myplayer.com"

(3)winsys16_070826.dll通过注入到rundll32.exe进程中，每隔100ms查找以下包含以下要害字的窗口是否存在，如存在则发送消息关闭

卡巴斯基

瑞星

kv

kill

查毒

杀毒

360safe安全卫士

专杀

木马

毒霸

江民

卡卡

雅虎助手

Windows任务治理器

SymantectAntiVirus

nod32

mcafee

kaspersky

duba

rising

jiangmin

金山反间谍

...

并读取mwinsys.ini配置文件，判定其中的[exe]、[dll_hitpop]等Section下路径的文件是否存在，如不存在则开始CopyFile，

另外，还会查找并修改注册表userinit，不存在则会再次生成

(4)winsys32_070826.dll通过注入iexplorer.exse进程，查找以下键值判定系统是否存在IE保护工具，并将自身写入白名单

Software\Baidu\BaiduBar\WhiteList

Software\Yahoo\Assistant\Assist\adwurl

Software\Microsoft\InternetExplorer\NewWindows\Allow

Software\Microsoft\ProtectedStorageSystemProvider

\Software\Microsoft\InternetExplorer\NewWindows\Allow

Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\DomainsSoftware\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\EscDomains\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\EscDomainsSoftware\Google\NavClient\1.1\whitelist

查找瑞星和卡巴斯基病毒警告窗口，发现则发送消息WM_CLOSE关闭窗口或自动点击窗口中的"是"按钮来逃避杀毒软件查杀

安全警告窗口

AVP.TrafficMonConnectionTerm

...

下载list.htm，通过点击指定网站来增加访问率

http://dhz.8**810.org/dhz1115/list.htm

下载cando.txt，以更新病毒程序

211.1*5.*0.2*8:8080

尝试将自身注册至BrowserHelperObjects

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{F1FABE79-25FC-46de-8C5A-2C6DB9D64333}

尝试在进程中查找并使用ntsd命令关闭以下进程

RUNIEP.EXE（瑞星卡卡上网安全助手-IE防漏墙）

KRegEx.exe

KVSXP.kxp

360tray.exe

查找雅虎和IE保护选项的窗口，并按提示做出相对的回应，如自动去掉拦截提示

(5)病毒可能会修改日期和源QQ传播，但没有实现