Win32.Troj.Agent.204800

判斷病毒檔案"svchost.dll"是否注入到包含關鍵字"winlogon.exe"的進程。

創建執行緒判斷客戶計算機上的系統時間是否2005年或之前,如果不是則設定系統時間為2005年。

病毒檔案"svchost.dll"注入進程explorer.exe。

創建執行緒刪除安全軟體的註冊表和服務。

讀取指定的網址獲取木馬程式的下載地址,獲取成功後下載木馬程式保存在客戶計算機上並運行。

生成的檔案:

%SystemRoot%\system32\svchost.dll

%SystemRoot%\system32\dllcache\svchost.exe(正常系統上也有此檔案,但中此病毒的系統,此檔案被病毒檔案覆蓋)

添加的註冊表:

Key:HKEY_CURRENT_USER\System\CurrentControlSet\Services\svchost

ImagePath:"%SystemRoot%\system32\dllcache\svchost.exe-g"

Key:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_SVCHOST

Key:HKEY_LOCAL_MACHINE\System\CurrentCOntrolSet\Services\svchost

ImagePath:"%SystemRoot%\system32\dllcache\svchost.exe-g"

病毒會覆蓋正常系統下指定資料夾下的檔案,通過創建註冊表服務以達到開機自啟動的作用。病毒會刪除客戶計算機上指定安全軟體的服務和註冊表,以達到開機時不讓安全軟體自啟動,並從網路上下載木馬程式保存到客戶計算機上運行。