Backdoor.Win32.Agent.evx

Backdoor.Win32.Agent.evx

2007-10-21

該後門程式激活後，在C:\Documents and Settings\All Users\Application Data\Microsoft\Application Data目錄下生成win87qq.dll和termsv.exe檔案，在C:\Program Files\Common Files\Real\Update_OB目錄下生成realsched.exe檔案；尋找名為Ie4Service和Ie9Service的窗體，如果存在則說明該病毒已經運行，程式自動退出；否則開啟一定時器，使程式休眠1200000 ms(20分鐘)，定時器到時後才會進行病毒行為；添加註冊表啟動項到HKLM下的RUN中指向realsched.exe檔案，使得病毒可以隨系統自動啟動；開啟新的進程分別運行realsched.exe和termsv.exe檔案；利用一個批處理刪除自身並退出。

realsched.exe啟動後，連線網路遠程下載病毒更新程式，並開啟後門與黑客連線，接受黑客的控制。

病毒添加的註冊表項：

項：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

鍵值：TkBellExe

指向檔案：C:\Program Files\Common Files\Real\Update_OB\realsched.exe

Windows 2000/Windows XP/Windows 2003

網頁掛馬，檔案捆綁，黑客攻擊