该病毒为下载者病毒，病毒运行之后，在注册表中添加SOFTWARE\\Microsoft\\DataAccess项，保存该十六进制形式的病毒代码入键值adatapx中。保存病毒的名称到键值"db2"中,添加病毒服务，使病毒开机自启动，将Svchost.exe-k netsvcs服务设置为自动以提高权限来删除杀软服务，拷贝自身到%WINDOWS%\\System32\\config下，病毒运行后删除自身文件，连接网络下载大量病毒文件。

病毒标签

行为分析

清除方案

病毒标签

病毒名称： Trojan-Downloader.Win32.Agent.tdf

病毒类型： 木马

文件 MD5： 5F022E9A35D3451AF6F25A7A52B6BCA1

公开范围： 完全公开

危害等级： 4

文件长度： 145,408 字节

感染系统： Windows98以上版本

开发工具： Borland Delphi 6.0 - 7.0

行为分析

本地行为

1、创建病毒服务、添加注册表项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\DataAccess\\adatapx

值: 字符串: "[md5]5f022e9a35d3451af6f25a7a52b6bca1.exe"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ProtectedStori\\Description

值: 字符串: "管理系统资料快照存储服务，该服务不能被删除。"

描述：病毒服务描述

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ProtectedStori\\DisplayName

值: 字符串: "Protected Storage Manager "

描述：病毒服务名

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ProtectedStori\\ImagePath

值: 字符串: "%WINDOWS%\\system32\\svchost.exe-k netsvcs."

描述：提高权限来删除杀软服务

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ProtectedStori\\Start

值: DWORD: 2 (0x2)

描述：病毒启动方式为自动

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ProtectedStori\\Type

值: DWORD: 272 (0x110)

2、以十六进制形式的病毒代码入键值adatapx中。保存病毒的名称到键值"db2"中。

3、文件运行后会释放以下文件

%System32%\\xunleiBHO_Now5.dll

%System32%\\bfh7.dll

%System32%\\7fg9.dll

%System32%\\9ffe.exe

%WINDOWS%\\Downloaded Program Files\\fa7ac.dll

%WINDOWS%\\Downloaded Program Files\\fa7b.dll

%WINDOWS%\\Player.exe

%WINDOWS%\\033.exe

%WINDOWS%\\7fdd.bmp

%WINDOWS%\\dfcf.exe

%WINDOWS%\\ffb9.txt

%WINDOWS%\\39.exe

%Program Files%\\Common Files\\PushWare\\Uninst.exe

%Program Files%\\Common Files\\PushWare\\cpush.dll

4将svchost.exe-k netsvcs服务设置为自动以提高权限来删除杀软服务,调用WinExec函数使用SW_HIDE参数启动病毒使病毒启动后隐藏主窗口 。

网络行为

协议：TCP

端口：80

连接服务器名

描述：按照文件列表中的”PlugList”，”Download”下载病毒文件和插件

列表内容为：

[PlugList]

Url=666E0199EB5F932286F65FECCBB07159F396FD17D74A4EC5FF47F4749B5B377D

[Download]

Ver=22

URL=666E0199EB5F932286F65FECCBB07159FA8EADAE5D0FA85C39CD4262B0C1F236F0298CE94FD5FFDF3FDE51C6D1E09744

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter%　逻辑驱动器根目录

%ProgramFiles%　系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings

\\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是%WINDOWS%\\System

windowsXP中默认的安装路径是%system32%

清除方案

1、使用安天防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool管理工具。

（1）清除IE的临时文件、删除所有脱机内容打勾。

（2） 强行删除病毒下载的大量病毒文件

%System32%\\xunleiBHO_Now5.dll

%System32%\\bfh7.dll

%System32%\\7fg9.dll

%System32%\\9ffe.exe

%WINDOWS%\\Downloaded Program Files\\fa7ac.dll

%WINDOWS%\\Downloaded Program Files\\fa7b.dll

%WINDOWS%\\Player.exe

%WINDOWS%\\033.exe

%WINDOWS%\\7fdd.bmp

%WINDOWS%\\dfcf.exe

%WINDOWS%\\ffb9.txt

%WINDOWS%\\39.exe

%Program Files%\\Common Files\\PushWare\\Uninst.exe

%Program Files%\\Common Files\\PushWare\\cpush.dll

（3）删除病毒创建的启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\DataAccess\\adatapx

删除DataAccess键下所有的键值

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ProtectedStori

删除ProtectedStori键下所有的键值