该病毒为刷流量病毒，病毒运行后加载动态链接库urlmon.dll，获取%Temp%临时文件夹目录，利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码保存到临时文件夹下

病毒标签(病毒名称 包含病毒 病毒类型 文件MD5 公开范围 危害等级 文件长度 感染系统 开发工具 加壳类型)

病毒描述

行为分析(本地行为 网络行为)

清除方案

病毒标签

病毒名称

Trojan-Downloader.Win32.Agent.yko

包含病毒

1、Trojan-Downloader.Win32.Agent.yko.lfb

2、Trojan-Downloader.Win32.Agent.yko.bmp

3、Trojan-Downloader.Win32.Agent.yko.cnv

4、Trojan-Downloader.Win32.Agent.yko.bdd

5、Trojan-Downloader.Win32.Agent.yko.puv

6、Trojan-Downloader.Win32.Agent.yko.arp (.b.exe MD5:74a9312c0c7b6146dc6d1ac3bb119f32 ,xof等)

病毒类型

蠕虫

文件MD5

37366A95A5D0FD0664CDAC6512DC77A5

公开范围

完全公开

危害等级

4

文件长度

77,312 字节

感染系统

Windows98以上版本

开发工具

Borland Delphi 6.0 - 7.0

加壳类型

ASPack 2.12 -> Alexey Solodovnikov

病毒描述

该病毒为刷流量病毒，病毒运行后加载动态链接库urlmon.dll，获取%Temp%临时文件夹目录，利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码保存到临时文件夹下，重命名为：TBHAILYFXYV.zbc（随机病毒名），在%system32%\\oobe目录下利用命令行方式创建一个windows下删不掉的文件夹命名为：“bak..”，将%Temp%临时文件夹TBHAILYFXYV.zbc文件，利用命令行方式拷贝到%system32%\\oobe\\bak.目录下，命名为：Outputbat.txt，作为作为代码的备份，遍历%Temp%临时文件夹查找TBHAILYFXYV.zbc（随机病毒名）， 将文件时间值转换成DOS日期和时间值，并在临时目录下创建一个后缀以EXE同名的文件，获取MZP头以命令行方式将病毒打包成自解压文件并设置密码为：“logved*log;7^5#;tvn”，以达到杀毒软件无法解压文件而不能查杀该病毒文件的目的，在DOS下使用命令行解压文件install.exe，并以命令行方式启动该文件，在%system32%\\oobe\\目录下释放unkgknroni.dll并将其注册为BHO浏览器辅助对象，病毒文件并创建一个名为5046（4位随机数字）并释放一个病毒文件svchost.exe到该目录下，创建该病毒进程，该文件用来定时隐藏打开大量的网页地址，添加注册表启动项，穿过windows自带防火墙，执行完毕后将%Temp%临时文件夹下TBHAILYFXYV.zbc、install.exe文件删除，最后创建$$30689.bat批处理文件删除病毒原文件。

行为分析

本地行为

1、文件运行后会释放以下文件

%system32%\\302fcc88b1.dll 92,672 字节 (10位随机数字与字母组合病毒名)

%windir%\\f218f4fbb2.dll 64 字节 (10位随机数字与字母组合病毒名)

%system32%\\oobe\\0755\\svchost.exe 871,936 字节 (4位随机数字文件夹名)

%system32%\\oobe\\qnujhyroni.dll 563,712 字节

2、修改注册表项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{03C12478-A0D3-4291-A535-F6D16BA08D68}\\InprocServer32\\@

值: 字符串: "C:\\WINDOWS\\system32\\oobe\\unkgknroni.dll"

描述：添加注册表启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{03C12478-A0D3-4291-A535-F6D16BA08D68}\\ProgID\\@

值: 字符串: "unkgknroni.XunBHoSwf"

描述：病毒文件注册为BHO的名称

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\unkgknroni.XunBHoSwf\\Clsid\\@

值: 字符串: "{03C12478-A0D3-4291-A535-F6D16BA08D68}"

描述：注册CLSID值

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\

Browser Helper Objects\\{03C12478-A0D3-4291-A535-F6D16BA08D68}\\

描述：将病毒DLL文件注册为BHO浏览器辅助对象

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\SharedAccess\\

Parameters\\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List

\\C:\\WINDOWS\\system32\\oobe\\7955\\svchost.exe

值: 字符串: "C:\\WINDOWS\\system32\\oobe\\7955\\svchost.exe:*:Enabled:svchost"

描述：将病毒文件设置为Windows自带防火墙为旅行，达到调过防火墙窗口询问目的

3、病毒运行后加载动态连接库文件urlmon.dll，获取%Temp%临时文件夹目录， 利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码到本机保存到临时文件夹下，重命名为：TBHAILYFXYV.zbc（随机病毒名）

4、在%system32%\\oobe目录下利用DOS命令行方式：CMD /C MD C:\\WINDOWS\\system32\\oobe\\bak.\\创建一个windows下删不掉的文件夹命为：“bak..”，将%Temp%临时文件夹TBHAILYFXYV.zbc文件，利用命令行方式：CMD /C COPY C:\\DOCUME~1\\a\\LOCALS~1\\Temp\\TBHAILYFXYV.zbc

C:\\WINDOWS\\system32\\oobe\\bak..\\Outputbat.txt /Y拷贝到%system32%\\oobe\\bak.目录下，命名为：Outputbat.txt，作为作为病毒代码的备份。

5、遍历%Temp%临时文件夹查找TBHAILYFXYV.zbc（随机病毒名）， 将文件时间值转换成DOS日期和时间值，并在临时目录下创建一个后缀以TBHAILYFXYV.EXE同名的文件，获取MZP头以命令行方式：""%s" -p"%s" -o- -s -d"%s将病毒打包成自解压文件并设置密码为：“logved*log;7^5#;tvn”

6、在DOS下使用命令行：C:\\DOCUME~1\\a\\LOCALS~1\\Temp\\KHOANEHWQPR.exe" -p"logved*log;7^5#;tvn" -o- -s -d"C:\\DOCUME~1\\a\\LOCALS~1\\Temp\\解压文件install.exe，并以命令行方式启动该文件， 在%system32%\\oobe\\目录下释放unkgknroni.dll并将其注册为BHO浏览器辅助对象，病毒文件并创建 一个名以5046（4位随机数字的目录）并释放一个病毒文件svchost.exe到该目录下，创建该病毒进 程，该文件用来定时隐藏打开大量的网页地址，执行完毕后将%Temp%临时文件夹下TBHAILYFXYV.zbc、install.exe文件删除，最后创建$$30689.bat批处理文件删除病毒原文件

网络行为

连接以下网址统计病毒安装情况，并顺序隐藏打开大量病毒预定好的网址：

http://www.ww****.cn/usersetup.asp?

action=027B04E05BE9C3AD11EFF8364C0F7008436CB1B5107441BBC4A0BD

F4DD741245DB1256C8ADF1A18A827E643FB175282FC3D4B

http://www.ww****.cn/usersetup.asp?

action=6D663F4F2B2AC7480D4710CBFE9572144AAA68BBF4D73AF73792A323C9E9416F34BED60

08CE304CC8E75B079077CEA8EE6318EA8F840EDEE32AFED2FB03C8CFF19818140F3646A4ABDA27E

22232B6796EFDC24927BC7BEB6C9C63CBFA8EABB0B87513EED40601DDDF3F1C3D3B166C74DB17E7A

7CCCE1AA93CDDD2777182AD129

*163*.txt

*yahoo*.txt

*sina*.txt

*3721*.txt

*alimama*.txt

*mmstat*.txt

*114*.txt

*yisou*.txt

*baidu*.txt

*google*.txt

*9v*.txt

*alibaba*.txt

*lianmeng*.txt

*2t3t*.txt

*sogou*.txt

*aliunion*.txt

*narrowad*.txt

*bolaa*.txt

*forsky*.txt

*heima8*.txt

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter%　逻辑驱动器根目录

%ProgramFiles%　系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings \\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是C:\\Windows\\System

windowsXP中默认的安装路径是%system32%

清除方案

1、使用安天防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

（1） 使用ATOOL“进程管理”关闭%system32%\\oobe\\0755\\svchost.exe路径的病毒进程

（2） 恢复注册表项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{03C12478-A0D3

-4291-A535-F6D16BA08D68}\\InprocServer32\\@

值: 字符串: "C:\\WINDOWS\\system32\\oobe\\unkgknroni.dll"

描述：添加注册表启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{03C12478-A0D3-4291

-A535-F6D16BA08D68}\\ProgID\\@

值: 字符串: "unkgknroni.XunBHoSwf"

描述：病毒文件注册为BHO的名称

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\unkgknroni.XunBHoSwf\\Clsid\\@

值: 字符串: "{03C12478-A0D3-4291-A535-F6D16BA08D68}"

描述：注册CLSID值

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\

Explorer\\Browser Helper Objects\\{03C12478-A0D3-4291-A535-F6D16BA08D68}\\

描述：将病毒DLL文件注册为BHO浏览器辅助对象

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\SharedAccess\\

Parameters\\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\

List\\C:\\WINDOWS\\system32\\oobe\\7955\\svchost.exe

值: 字符串: "C:\\WINDOWS\\system32\\oobe\\7955\\svchost.exe:*:Enabled:svchost"

描述：将病毒文件设置为Windows自带防火墙为旅行，达到调过防火墙窗口询问目的

（3） 删除病毒毒衍生的文件：

%system32%\\302fcc88b1.dll

%windir%\\f218f4fbb2.dll

%system32%\\oobe\\0755\\svchost.exe

%system32%\\oobe\\qnujhyroni.dll

使用命令：rd bak..\\/s在CMD命令下删除%system32%\\oobe\\目录下的bak.文件夹，或使用ATOOL工具强行删除该文件夹