Win32.Troj.Agent.208896

病毒名稱(中文): 僞裝進程下載器208896 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬下載器 病毒長度: 208896 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個木馬下載程序。該程序圖標爲Windows默認可執行文件圖標，病毒擴展名爲exe，主要通過網頁木馬、文件捆綁方式傳播。 1.程序運行後，生成文件 C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507 C:\DocumentsandSettings\fish\LocalSettings\History\History.IE5\MSHist012008050620080507\index.dat 並且修改IE緩沖區中的文件. 2.該木馬被執行後，通過API函數GetModuleFileNameA獲取當前模塊對應的文件名，之後依次與以下文件名：conime.exe、 internat.exe、ctfmon.exe、explorer.exe進行比較，若發現與某個文件名相同，則執行目錄%systemroot%\system32\dllcache下 相同名稱的程序，欺騙用戶誤認爲是正常的系統文件；開啓一線程查找窗口名爲「Windows文件保護」的窗口，若找到則通過API函 數ShowWindow將其隱藏；通過API函數URLDownloadToCacheFileA將如下網址中含有下載列表的文件下載到緩沖區，通過API函數 InternetOpenA、InternetOpenUrlA、InternetReadFile依次訪問下載列表中的網站，將多種病毒和木馬程序下載到本地%temp%並運 行；破壞系統和盜取帳號信息。 3.遍曆進程檢測當前進程中是否存在AVP.exe，若存在則修改當前系統時間，使其不能正常運行。