基本介紹
- 中文名:Win32.Troj.Agent.ag
- 威脅級別:一星
- 病毒類型:木馬
- 影響系統:Win 9x/ME,Win 2000/NT等
病毒行為:
這是一個更改主頁的病毒,它能利用用戶級的HOOK技術隱藏自己,
一但病毒發現有特定的進程或視窗就會關閉用戶的計算機,嚴重影響用戶
的工作.
1:拷貝檔案
病毒運行後,會把自己拷貝到下面的地址
C:\Windows\system32\mq.ocx
2:添加註冊表
病毒會在註冊表中添加一自啟動項,使自己能隨Windows啟動
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion
A -> C:\WINDOWS\system32\rundll32.exe mq.ocx s
3:隱藏自己
病毒會插入到系統中所有的進程空間裡面,隱藏病毒所有的信息
使用戶在註冊表和資源管理器中無法看到病毒的信息
4:檢測系統
當病毒發現進程中包含以下字元
\\360\\
360safe
wopticlean
進程名包含以下名字
Rsaupd.exe
kkinst.ini
mmsk.exe
AntiActi.dll
iehelp.exe
Ras.exe
KKClean.dll
hsfx.DRV
ierset.dll
mmskskin.dll
CleanHis.dll
WoptiClean.sys
kakalib.def
4199_9505
會在不提示用戶的情況下關閉用戶的計算機
使用戶的工作受到極大的影響
5:更改主頁
用戶每隔半秒就會把當前的主頁設為空白頁,
使用戶無法自定義主頁
