電腦木馬病毒,這是一個Downloader,能下載並運行黑客事先指定的檔案。
基本介紹
- 中文名:Win32.Troj.Agent
- 處理時間 :2007-03-27
- 威脅級別 :★
- 中文名稱 :後台下載器
- 類型 :木馬
- 影響系統 :Win 9x/ME,Win 2000/NT 等
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
1:拷貝檔案
病毒運行後,會把自己拷貝到系統目錄下
%WinDir%\\SVCHOST.EXE
%WinDir%\\MDM.EXE (Win32.Troj.Agent.hc)
2:添加註冊表
病毒修改註冊表不顯示隱藏檔案
HKLM\\software\\Windows\\CurrentVersion\\Explorer\\Advanced
Hidden = "0x02"
HKLM\\software\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\ShowAll
CheckedValue = "0x00"
3:添加autorun
病毒會把自己拷貝到每個分區的根目錄下,命名為RavMon.exe
並在Aurorun.inf裡面添加以下內容
open=RavMon.exe
shell\open=打開(&O)
shell\open\Command=RavMon.exe
shell\explore=資源管理器(&X)
shell\explore\Command="RavMon.exe -e"
使病毒體能自動運行.
4:下載程式
SVCHOST.EXE會每隔3秒運行一次MDM.exe
MDM.exe會下載並運行黑客事前指定的檔案
