文件名称：名称随机

　　文件大小：13149.dat

　　AV命名： Backdoor.Win32.Agent.ahj（Ikarus）

　　加壳方式：NsPack

　　文件MD5：ca2046a99c834aca83cef0efa848877f

　　主要行为：

　　1、释放文件：

　　%systemroot%system32释放3个随机文件名称的文件：

　　2个扩展名为dat，一个为dll，大小为243200 字节。

　　2、访问注册表键：SYSTEMCurrentControlSetServicesvmscsi

　　假设存在，即删除c:tldr（硬编码），并立刻执行命令行：shutdown -s -t 0 -f重启计算机

　　重启后虚拟机瘫痪。

　　3、添加启动项：

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad

　　Registry value: tyxzjal

　　Type: REG_SZ

　　Value: {18b39e76-903b-e580-a14c-903b16feedfb}

　　指向：C:WINDOWSsystem32otsuevg.dll

　　4、启动rundll32.exe，进行链接库注入：rundll32.exe C:WINDOWSsystem32130196.dat s

　　5、继续注入其他两个副本文件，应该是进程守护技术吧。

　　6、安装全局钩子，注入所有活动的进程。

　　7、查找计算机中是否安装快车、TM和QQ，如果有，则在其目录下生成病毒文件。

　　8、监控系统，如果尝试运行或加载这些文件会被删除（移动到临时文件夹）！！：

　　ollydbg.ini Libclsid.dat KNetWch.SYS mmskskin.dll Iereset.dll KASearch.DLL Rsaupd.exe libdll.dat CleanHis.dll WoptiClean.sys kakalib.def kkinst.ini KAVBootC.sys Ras.exe iehelp.exe trojandetector.exe KAConfig.DLL KAVPassp.DLL KKClean.dll VirUnk.def AntiActi.dll FileAnalyser.dll

　　（好乱啊，，，=.=）

　　9、还有这些关键字也会被结束删除（移动到临时文件夹）：

　　wopticlean 360safe 360 Duba Kingsoft uschuk WangSea GYN Smallfrogs MicropoInt ArSwp 360Safe Spyware ackTh wb .com duba　 360 修复 uba

　　并添加至： PendingFileRenameOperations延迟删除。

　　10、破坏安全模式，删除：

　　SystemCurrentControlSetControlSafeBootMinimal　　SystemCurrentControlSetControlSafeBootNetwork

　　11、连接网络：s2f3.v78a344.com h**p://www.ads520.com/等

　　下载木马，不过没实现！

　　12、每激活一个进程，病毒就会注入该进程，并执行上面的操作，会重写回注册表启动！

　　解决方法：

　　其实很简单，进入System目录，查看最近修改的文件，

　　看到有3个文件大小一样的就删了（名字比较怪的）

　　然后打开注册表，查找这3个病毒名字，删除那些键