病毒标签

　　病毒描述

　　行为分析-本地行为

　　行为分析-网络行为

　　清除方案：

　　病毒名称： Trojan-Downloader.Win32.Agent.yko

　　病毒类型： 蠕虫

　　文件 MD5： 37366A95A5D0FD0664CDAC6512DC77A5

　　公开范围： 完全公开

　　危害等级： 4

　　文件长度： 77,312 字节

　　感染系统： Windows98以上版本

　　开发工具： Borland Delphi 6.0 - 7.0

　　加壳类型： ASPack 2.12 -> Alexey Solodovnikov

　　该病毒为刷流量病毒，病毒运行后加载动态链接库urlmon.dll，获取%Temp%临时文件夹目录，利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码保存到临时文件夹下，重命名为：TBHAILYFXYV.zbc（随机病毒名），在%system32%oobe目录下利用命令行方式创建一个windows下删不掉的文件夹命名为：“bak..”，将%Temp%临时文件夹TBHAILYFXYV.zbc文件，利用命令行方式拷贝到%system32%oobeak.目录下，命名为：Outputbat.txt，作为作为代码的备份，遍历%Temp%临时文件夹查找TBHAILYFXYV.zbc（随机病毒名）， 将文件时间值转换成DOS日期和时间值，并在临时目录下创建一个后缀以EXE同名的文件，获取MZP头以命令行方式将病毒打包成自解压文件并设置密码为：“logved*log;7^5#;tvn”，以达到杀毒软件无法解压文件而不能查杀该病毒文件的目的，在DOS下使用命令行解压文件install.exe，并以命令行方式启动该文件，在%system32%oobe目录下释放unkgknroni.dll并将其注册为BHO浏览器辅助对象，病毒文件并创建一个名为5046（4位随机数字）并释放一个病毒文件svchost.exe到该目录下，创建该病毒进程，该文件用来定时隐藏打开大量的网页地址，添加注册表启动项，穿过windows自带防火墙，执行完毕后将%Temp%临时文件夹下TBHAILYFXYV.zbc、install.exe文件删除，最后创建$$30689.bat批处理文件删除病毒原文件。