Trojan.Win32.Agent.bi

危害等級： 中

感染系統： windows 9x 及以上版本

開發工具： Visual C++

加殼類型： 未知殼

該木馬會修改註冊表的 鍵值 ，刪除某些 鍵值， 修改系統服務配置，達到隨系統啟動的目的。拷貝自身到 %System% 下，病毒名後兩個字元不定。修改註冊表中 CLSID 下的鍵值，更改 IE 設定。

1 、修改註冊表如下鍵值：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control

\ServiceCurrent\@

舊值： DWORD: 7 (0x7) 新值 : DWORD: 8 (0x8)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum

\Count

舊值： DWORD: 0 (0) 新值 : DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum

\NextInstance

舊值： DWORD: 0 (0) 新值 : DWORD: 1 (0x1)

新建值如下：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33EAF5FD-7FC6-F387-E5DB-FBB059A0113A}\LocalServer32\@ 鍵值為病毒所在路徑。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F 咪 # 泛鬧 `I

\DisplayName

鍵值： 字串 : "Network Security Service (NSS)" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F 咪 # 泛鬧 `I

\ErrorControl

鍵值： DWORD: 0 (0)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F 咪 # 泛鬧 `I\ImagePath

鍵值：病毒所在路徑

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11F 咪 # 泛鬧 `I

\DisplayName

鍵值 : 字串 : "Network Security Service (NSS)"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11F 咪 # 泛鬧 `I

\ObjectName

鍵值 : 字串 : "LocalSystem"

2 、修改以下四種服務配置中的一種，把這個服務過程的主執行緒連線到服務控制管理程式中，並更新服務控制管理程式的狀態信息，從而達到隨系統啟動的目的。

Network Security Service

Network Security Service (NSS)

Remote Procedure Call (RPC) Helper

Workstation Netlogon Service

3 、添加註冊表中的 RunServices 項和 Applications 項 ：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

ShellCompatibility\Applications\

建值由釋放的病毒體名決定 .

4 、大量修改如下鍵值：

HKEY_CURRENT_USER\CLSID\{unique_id}\LocalServer32\

{Default} = <path>\<filename.exe>

5 、釋放病毒體：

Windows 2000 和 NT 下，位於 %Windir%\System32\

Windows 95 、 98 和 ME 下，位於 %Windir%\System32

Windows XP 下，位於 %Windir%\System32

6 、釋放的病毒體名不定 , 從 "0123456789ABCDEF" 隨機選取兩個字元作為病毒名的

後兩個位元組。病毒體名前字元串為以下幾種：

add api app atl cr cr d3 ie ip java mfc ms net nt sdk sys win

舉例： addxy.exe