Win32.hack.Agent.36864

病毒名稱(中文): 文件夾下載器36864 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬下載器 病毒長度: 36864 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個木馬下載風險程序。它主要通過網頁木馬、文件捆綁、移動存儲介質方式傳播。木馬的圖標會僞裝成Windows默認的可執行文件圖標，擴展名爲exe，騙過用戶的注重或誘惑用戶點擊。 1.程序運行後，生成文件 %system32%\Security.exe 2.病毒修改注冊表鍵值： 項：HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值：DisplayName 指向數據：PerformanceLogsandAle 項：HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值：ImagePath 指向文件：％systemroot％\system32\Security.exe 項：HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值：Description 指向數據：IntelRegistryService 項：HKLM\SYSTEM\CurrentControlSet\Services\Privilege鍵值：Start 指向數據：02 3.木馬執行後，檢測%system32%\drivers目錄下是否存在驅動文件klif.sys，假如存在則以命令行的方式修改系統時間，使部分殺毒軟件不能正常使用； 拷貝自身到system32目錄下，重命名爲Security.exe，修改文件屬性爲隱藏、系統；用SCM寫注冊表項將Security.exe注冊成名爲Privilege的服務， 通過使用相關函數啓動被注冊的服務；通過相關API函數運行Security.exe； 4.Security.exe運行後，開啓一線程關閉「IE執行保護」與「瑞星卡卡上網安全助手-IE防漏牆」的安全提示；開啓一IEXPLORE.EXE進程,申請內存空間將 病毒一部分代碼寫入，並通過相關函數激活病毒代碼進行代碼注入逃避殺毒軟件的查殺，並訪問惡意網站下載其它病毒程序並運行；遍曆盤符在移動存儲介質中 釋放隱藏病毒文件和autorun.inf，使用Windows自動播放功能來傳播病毒；以批處理的方式將病毒原文件刪除。