Win32.Troj.Agent.204800是一款影響WinNTWin2000WinXP系統的木馬程式。
基本介紹
- 外文名:Win32.Troj.Agent.204800
- 屬於:木馬程式
- 病毒長度:204800
- 影響系統:WinNTWin2000WinXP
病毒行為,感染方式,
病毒行為
判斷病毒檔案"svchost.dll"是否注入到包含關鍵字"winlogon.exe"的進程。
創建執行緒判斷客戶計算機上的系統時間是否2005年或之前,如果不是則設定系統時間為2005年。
病毒檔案"svchost.dll"注入進程explorer.exe。
創建執行緒刪除安全軟體的註冊表和服務。
讀取指定的網址獲取木馬程式的下載地址,獲取成功後下載木馬程式保存在客戶計算機上並運行。
生成的檔案:
%SystemRoot%\system32\svchost.dll
%SystemRoot%\system32\dllcache\svchost.exe(正常系統上也有此檔案,但中此病毒的系統,此檔案被病毒檔案覆蓋)
添加的註冊表:
Key:HKEY_CURRENT_USER\System\CurrentControlSet\Services\svchost
ImagePath:"%SystemRoot%\system32\dllcache\svchost.exe-g"
Key:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_SVCHOST
Key:HKEY_LOCAL_MACHINE\System\CurrentCOntrolSet\Services\svchost
ImagePath:"%SystemRoot%\system32\dllcache\svchost.exe-g"
感染方式
病毒會覆蓋正常系統下指定資料夾下的檔案,通過創建註冊表服務以達到開機自啟動的作用。病毒會刪除客戶計算機上指定安全軟體的服務和註冊表,以達到開機時不讓安全軟體自啟動,並從網路上下載木馬程式保存到客戶計算機上運行。