该病毒为 木马类 ， 病毒被激活后，复制自身到系统目录和各个驱动器下；并以多种方式添 加启动项，包括注册表、 「开始」菜单 \\程序\\启动、 在各个驱动器根目录下添加 AutoRun自启 动项。病毒还伪装成网页的形式，用以迷惑用户点击运行。该病毒还可以记录键盘信息，达到其收集敏感信息的目的；主动连接网络下载大量病毒相关文件。主要传播途径为 移动存储介质传播， 还可通过恶意网站、其它病毒 /木马下载传播。

病毒简介

行为分析

清除方案

病毒简介

病毒名称： Trojan-Downloader.Win32.Agent.bsc

病毒类型： 木马类

文件 MD5： 7F6289796011D6DC1F00447EE501FD68

公开范围： 完全公开

危害等级： 3

文件长度： 1,078,784 字节

感染系统： windows 98以上版本

开发工具： Borland C++

加壳类型： 无

行为分析

1 、病毒被激活后，复制自身到系统目录和各个驱动器下，衍生病毒文件：

%WINDIR%\\QQ.exe

%Documents and Settings%\\All Users\\「开始」菜单\\

程序\\启动\\Internet Explorer.exe

[DRIVE LETTER]:\\ Autorun.inf

[DRIVE LETTER]:\\ iexplore.exe

[DRIVE LETTER]:\\ 网上资料 .htm.exe

2 、添加启动项，以达到自启动的目的：

⑴在注册表中添加启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

键值 : 字串: " QQ " = " %WINDIR%\\QQ.exe "

⑵在 “「开始」菜单\\程序\\启动” 中 添加启动项：

%Documents and Settings%\\All Users\\「开始」菜单\\程序\\

启动\\Internet Explorer.exe

⑶在各个驱动器根目录下释放自身副本，添加AutoRun自启动项：

[DRIVE LETTER]:\\ Autorun.inf

[DRIVE LETTER]:\\ iexplore.exe

3 、该病毒具有键盘记录功能，用以记录用户的录入信息。

4、在各个驱动器根目录下释放自身副本并命名为：网上资料.htm.exe。以Internet Explorer的

图标为网上资料.htm.exe的显示图标，伪装成网页的 形式，用以迷惑用户点击。网上资料 .htm.exe为可变文件名，内部列表为：

网上资料 .htm.exe

下载 .htm.exe

论文 .htm.exe

个人资料 .htm.exe

使用说明 .htm.exe

日记 .htm.exe

readme.htm.exe

重要内容 .htm.exe

未命名 .htm.exe

5、主动连接网络，开启大量线程下载相关病毒文件信息，下载地址如下：

125.126.1*0.1*4:80

59 .151.2* .1*0:80

125.126.1*4.7* :80

222.28 .1*2.1*0:80

220.181.1* .1*6:80

220.181.1* .1*4:80

221.194.1*4.3* :80

203.209.2*2.6* :80

203.209.2*2.5* :80

60 .28 .2*6.4* :80

60 .191.1*3.9* :80

60 .28 .2*2.6* :80

61 .135.1*1.2*0:80

61 .135.1*1.1*6:80

61 .152.1*8.1*1:80

64 .233.1*9.1*4:80

64 .213.2*0.1*1:80

211.94 .1*4.1*0:80

6、 该病毒通过移动存储介质，恶意网站、其它病毒/木马下载传播， 可以盗取用户敏感信息。

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。

Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装

路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

清除方案

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1)使用 安天木马防线 “进程管理”关闭病毒进程。

(2)删除病毒文件：

%WINDIR%\\QQ.exe

%Documents and Settings%\\All Users\\

「开始」菜单\\程序\\启动\\Internet Explorer.exe

[DRIVE LETTER]:\\ Autorun.inf

[DRIVE LETTER]:\\ iexplore.exe

[DRIVE LETTER]:\\ 网上资料 .htm.exe

(3)恢复病毒修改的注册表项目，删除病毒添加的注册表项。

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\

Windows\\CurrentVersion\\Run

键值 : 字串: " QQ " = " %WINDIR%\\QQ.exe "

(4)删除在 “「开始」菜单\\程序\\启动” 中 启动项：

%Documents and Settings%\\All Users\\

「开始」菜单\\程序\\启动\\Internet Explorer.exe

(5)在各个 驱动器和 移动存储介质 根目录下建 Autorun病毒免疫：

创建 Autorun.inf文件，属性设为系统只读。